Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas incorporadas Azure Policy relacionadas com Microsoft Defender para a Cloud. Estão disponíveis os seguintes agrupamentos de definições de políticas:
- O grupo iniciativas lista as definições Azure Policy de iniciativa na categoria "Defender para a Cloud".
- O grupo default initiative lista todas as definições Azure Policy que fazem parte da iniciativa padrão da Defender para a Cloud, Microsoft cloud security benchmark. Este benchmark amplamente respeitado, de autoria Microsoft, baseia-se em controlos do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST) com foco na segurança centrada na cloud.
- O grupo categoria lista todas as definições Azure Policy na categoria "Defender para a Cloud".
Para obter mais informações sobre diretivas de segurança, consulte Trabalhando com diretivas de segurança. Para outros Azure Policy incorporados para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Iniciativas Microsoft Defender para a Cloud
Para saber mais sobre as iniciativas integradas monitorizadas pelo Defender para a Cloud, consulte a tabela seguinte:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente | Implementar o agente Microsoft Defender para Endpoint nas imagens aplicáveis. | 4 | 1.0.0-preview |
| [Pré-visualização]: Microsoft Cloud Security Benchmark v2 | A iniciativa Microsoft benchmark de segurança cloud representa as políticas e controlos que implementam as recomendações de segurança definidas no benchmark de segurança Microsoft cloud, ver https://aka.ms/azsecbm. Isto também serve como a iniciativa de política padrão do Microsoft Defender para a Cloud. Pode atribuir diretamente esta iniciativa ou gerir as suas políticas e resultados de conformidade dentro do Microsoft Defender para a Cloud. | 414 | 1.3.0-pré-visualização |
| Configure Advanced Threat Protection para ser ativado em bases de dados relacionais open-source | Ative a Advanced Threat Protection nas suas bases de dados relacionais open-source de nível não-Básico para detetar atividades anómalas que indiquem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. Consulte https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configure Azure Defender para ser ativado em SQL Servers e SQL Managed Instances | Ative Azure Defender nos seus SQL Servers e Instâncias Geridas SQL para detetar atividades anómalas que indiquem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | 3 | 3.0.0 |
| Configure Microsoft Defender para a Cloud planos | O Microsoft Defender para a Cloud oferece proteções abrangentes e nativas da cloud, desde o desenvolvimento até ao tempo de execução em ambientes multi-cloud. Use a iniciativa de políticas para configurar planos e extensões do Defender para a Cloud para serem ativados no(s) âmbito(s) selecionado(s). | 12 | 1.1.0 |
| Configure Microsoft Defender para que as bases de dados sejam ativadas | Configure o Microsoft Defender para Bases de Dados para proteger as suas Bases de Dados SQL do Azure, Instâncias Geridas, bases de dados relacionais open-source e Cosmos DB. | 4 | 1.0.0 |
| Configure múltiplas definições de integração de Microsoft Defender para Endpoint com Microsoft Defender para a Cloud | Configura as múltiplas definições de integração Microsoft Defender para Endpoint com Microsoft Defender para a Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION, etc.). Consulte: https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | 3 | 1.0.0 |
| Configure VMs SQL e servidores SQL com Arc-enabled para instalar Microsoft Defender extensão | O Microsoft Defender for SQL recolhe eventos dos agentes e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | 3 | 1.0.0 |
| Configure VMs SQL e servidores SQL com Arc-Enabled para instalar Microsoft Defender para SQL e AMA com um espaço de trabalho em LA | O Microsoft Defender for SQL recolhe eventos dos agentes e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho de Regras de Recolha de Dados e Log Analytics na mesma região da máquina. | 9 | 1.3.0 |
| Configure VMs SQL e servidores SQL habilitados para Arc para instalar Microsoft Defender para SQL e AMA com um espaço de trabalho LA definido pelo utilizador | O Microsoft Defender for SQL recolhe eventos dos agentes e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Cria um grupo de recursos e uma Regra de Recolha de Dados na mesma região do espaço de trabalho Log Analytics definido pelo utilizador. | 8 | 1.2.0 |
| Microsoft benchmark de segurança na nuvem | A iniciativa Microsoft benchmark de segurança cloud representa as políticas e controlos que implementam as recomendações de segurança definidas no benchmark de segurança Microsoft cloud, ver https://aka.ms/azsecbm. Isto também serve como a iniciativa de política padrão do Microsoft Defender para a Cloud. Pode atribuir diretamente esta iniciativa ou gerir as suas políticas e resultados de conformidade dentro do Microsoft Defender para a Cloud. | 223 | 57.56.0 |
Iniciativa padrão do Defender para a Cloud (benchmark de segurança cloud da Microsoft)
Para saber mais sobre as políticas incorporadas monitorizadas pelo Defender para a Cloud, consulte a tabela seguinte:
| Nome da política (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| O Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja as suas sub-redes de potenciais ameaças restringindo o acesso a elas com o Azure Firewall ou um firewall de próxima geração suportado | AuditIfNotExists, desativado | 3.0.0-pré-visualização | |
| [Pré-visualização]: Azure Arc clusters Kubernetes ativados devem ter Microsoft Defender para a Cloud extensão instalada | A extensão Microsoft Defender para a Cloud para Azure Arc fornece proteção contra ameaças para os seus clusters Kubernetes com Arc. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender do backend Kubernetes na cloud para análise adicional. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-preview |
| [Pré-visualização]: Azure servidor flexível PostgreSQL deve ter Microsoft Entra Apenas Autenticação ativada | Desativar métodos de autenticação local e permitir apenas a Autenticação Microsoft Entra melhora a segurança ao garantir que os servidores flexíveis Azure PostgreSQL possam ser acedidos exclusivamente pelas identidades Microsoft Entra. | Modo de Auditoria, Desativado | 1.0.0-preview |
| [Pré-visualização]: Azure Stack servidores HCI deveriam ter aplicado consistentemente políticas de controlo de aplicações | No mínimo, aplique a política base WDAC da Microsoft em modo imposto em todos os servidores Azure Stack HCI. As políticas de Controlo de Aplicações Windows Defender Aplicadas (WDAC) devem ser consistentes entre servidores no mesmo cluster. | Audit, Desativado, AuditIfNotExists | 1.0.0-preview |
| [Pré-visualização]: Azure Stack servidores HCI devem cumprir os requisitos de núcleo seguro | Certifique-se de que todos os servidores Azure Stack HCI cumprem os requisitos Secured-core. Para habilitar os requisitos do servidor Secured-core: 1. Na página de clusters Azure Stack HCI, vá ao Windows Admin Center e selecione Conectar. 2. Vá para a extensão Segurança e selecione Secured-core. 3. Selecione qualquer configuração que não esteja habilitada e clique em Ativar. | Audit, Desativado, AuditIfNotExists | 1.0.0-preview |
| [Pré-visualização]: Azure Stack sistemas HCI devem ter volumes encriptados | Use o BitLocker para encriptar o sistema operativo e os volumes de dados nos sistemas Azure Stack HCI. | Audit, Desativado, AuditIfNotExists | 1.0.0-preview |
| [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instalar a extensão Guest Attestation em máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-preview |
| [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instalar a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Guest Attestation em máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure atesta e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 4.0.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em conjuntos de escalas Windows máquinas virtuais suportadas | Instale a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a conjuntos de escalas de máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 3.1.0-prévia |
| [Pré-visualização]: A rede de host e VM deve ser protegida em sistemas Azure Stack HCI | Proteja os dados na rede dos hosts HCI do Azure Stack e nas ligações de rede de máquinas virtuais. | Audit, Desativado, AuditIfNotExists | 1.0.0-preview |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender para a Cloud identificou componentes de arranque do sistema operativo não confiáveis em uma ou mais das suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | O Security Center utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | AuditIfNotExists, desativado | 1.0.2-pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em Windows máquinas virtuais | O Security Center utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | AuditIfNotExists, desativado | 1.0.2-pré-visualização |
| [Pré-visualização]: O Secure Boot deve estar ativado em máquinas virtuais Windows suportadas | Ative o Arranque Seguro nas máquinas virtuais Windows suportadas para mitigar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | Modo de Auditoria, Desativado | 4.0.0-preview |
| [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Modo de Auditoria, Desativado | 2.0.0-pré-visualização |
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Um administrador de Microsoft Entra deve ser provisionado para servidores MySQL | Audite o provisionamento de um administrador Microsoft Entra para o seu servidor MySQL para permitir a autenticação Microsoft Entra. A autenticação Microsoft Entra permite uma gestão simplificada de permissões e uma gestão centralizada de identidades de utilizadores de bases de dados e outros serviços da serviços Microsoft | AuditIfNotExists, desativado | 1.1.1 |
| A administrador de Microsoft Entra deve ser provisionado para servidores PostgreSQL | Audite a provisão de um administrador Microsoft Entra para o seu servidor PostgreSQL para permitir a autenticação Microsoft Entra. A autenticação Microsoft Entra permite uma gestão simplificada de permissões e uma gestão centralizada de identidades de utilizadores de bases de dados e outros serviços da serviços Microsoft | AuditIfNotExists, desativado | 1.0.1 |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades para as suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | O Centro de Segurança do Azure identificou algumas das regras de entrada dos seus grupos de segurança de rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Um administrador de Azure Active Directory deve ser provisionado para servidores SQL | Provisão de auditoria de um administrador Azure Active Directory para o seu servidor SQL para permitir a autenticação Azure AD. A autenticação Azure AD permite uma gestão simplificada de permissões e uma gestão centralizada de identidades de utilizadores de bases de dados e outros serviços da serviços Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os endpoints API em API Management do Azure devem ser autenticados | Os endpoints de API publicados no API Management do Azure devem impor autenticação para ajudar a minimizar riscos de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://dori-uw-1.kuma-moon.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
| Os endpoints API que não sejam utilizados devem ser desativados e removidos do serviço API Management do Azure | Como melhor prática de segurança, endpoints de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço API Management do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Estas podem ser APIs que deveriam ter sido descontinuadas do serviço API Management do Azure, mas que podem ter sido deixadas ativas por engano. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
| As APIs de gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS. | Auditar, Desabilitar, Negar | 2.0.2 |
| As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos backends do Service Fabric. | Auditar, Desabilitar, Negar | 1.0.1 |
| As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome. | Auditar, Desabilitar, Negar | 1.0.2 |
| O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado | A API REST de gestão direta no API Management do Azure contorna os mecanismos de controlo de acesso, autorização e redução de funções baseados no Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço. | Auditar, Desabilitar, Negar | 1.0.2 |
| Os valores nomeados de Gestão <>API devem ser armazenados em Azure Key Vault | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados tanto como texto encriptado na API Management (segredos personalizados) como referenciando segredos no Azure Key Vault. Para melhorar a segurança da Gestão de APIs e dos segredos, consulte valores nomeados de segredos do Azure Key Vault. O Azure Key Vault suporta gestão granular de acessos e políticas de rotação secreta. | Auditar, Desabilitar, Negar | 1.0.2 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implementação do Rede Virtual do Azure oferece segurança reforçada, isolamento e permite-lhe colocar o seu serviço de Gestão de APIs numa rede roteável não pela internet à qual controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desativado | 1.0.1 |
| As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditar, Desabilitar, Negar | 1.1.0 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma de ligação privada gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.2.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Modo de Auditoria, Desativado | 1.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no seu SQL Server deve estar ativada para acompanhar as atividades da base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação numa máquina virtual Azure Linux via SSH é com um par de chaves públicas-privadas, também conhecidas como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Modo de Auditoria, Desativado | 2.0.1 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Azure os recursos dos Serviços de IA devem encriptar os dados em repouso com uma chave gerida pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
| Azure os recursos dos Serviços de IA devem ter o acesso à chave desativado (desativar autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/testes, requer acesso a chaves e não funcionará se o acesso estiver desativado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio do privilégio mínimo e o controlo granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Azure Os recursos dos Serviços de IA devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isto pode ser conseguido configurando regras de rede para que apenas aplicações de redes permitidas possam aceder ao serviço de IA do Azure. | Auditoria, Negar, Desativado | 3.3.0 |
| Azure os recursos dos Serviços de IA devem usar Azure Private Link | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link reduz os riscos de fuga de dados ao tratar da conectividade entre o consumidor e os serviços através da rede backbone Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Modo de Auditoria, Desativado | 1.0.0 |
| A versão da plataforma API Management do Azure deve ser stv2 | A versão da plataforma de computação do API Management do Azure stv1 será retirada a partir de 31 de agosto de 2024, e estas instâncias deverão ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://dori-uw-1.kuma-moon.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters Kubernetes ativados Azure Arc devem ter a extensão Azure Policy instalada | A extensão Azure Policy para Azure Arc fornece aplicações e salvaguardas em larga escala nos seus clusters Kubernetes habilitados pelo Arc, de forma centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desativado | 1.1.0 |
| Azure Backup deve estar ativado para Máquinas Virtuais | Garanta a proteção das suas Máquinas Virtuais do Azure ativando o Azure Backup. O Azure Backup é uma solução segura e económica de proteção de dados para Azure. | AuditIfNotExists, desativado | 3.0.0 |
| Cache do Azure para Redis deve usar o link privado | Os endpoints privados permitem-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. Ao mapear endpoints privados para as suas instâncias do Cache do Azure para Redis, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Azure Cosmos DB contas devem ter regras de firewall | As regras de firewall devem ser definidas nas suas contas do Azure Cosmos DB para evitar tráfego proveniente de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
| As contas Azure Cosmos DB devem usar chaves geridas pelo cliente para encriptar dados em repouso | Use chaves geridas pelo cliente para gerir a encriptação no resto do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Azure Cosmos DB deve desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que sua conta do CosmosDB não seja exposta na Internet pública. A criação de endpoints privados pode limitar a exposição da sua conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditoria, Negar, Desativado | 1.0.0 |
| Desativar a propriedade intelectual pública dos clusters no Azure Databricks Workspaces melhora a segurança ao garantir que os clusters não sejam expostos na internet pública. Saiba mais em: https://dori-uw-1.kuma-moon.com/azure/databricks/security/secure-cluster-connectivity. | Auditoria, Negar, Desativado | 1.0.1 | |
| Azure Databricks Os espaços de trabalho devem estar numa rede virtual | As Redes Virtuais Azure proporcionam segurança e isolamento reforçados para os seus Workspaces Azure Databricks, bem como sub-redes, políticas de controlo de acesso e outras funcionalidades para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Auditoria, Negar, Desativado | 1.0.2 |
| Azure Databricks Os espaços de trabalho devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://dori-uw-1.kuma-moon.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Databricks Os espaços de trabalho devem usar ligação privada | O Azure Private Link permite-lhe ligar as suas redes virtuais a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para os workspaces do Azure Databricks, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | Modo de Auditoria, Desativado | 1.0.2 |
| Azure Proteção DDoS deve estar ativada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| Azure Defender para App Service deve estar ativado | Azure Defender para o Serviço de Aplicações aproveita a escala da cloud e a visibilidade que a Azure tem como fornecedora de cloud, para monitorizar ataques comuns a aplicações web. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para Base de Dados SQL do Azure servidores deve estar ativado | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | AuditIfNotExists, desativado | 1.0.2 |
| Azure Defender para Key Vault deve estar ativado | Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas invulgares e potencialmente prejudiciais de aceder ou explorar key vault contas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para bases de dados relacionais open-source deve estar ativado | Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indicam tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para Resource Manager deve estar ativado | Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. Azure Defender deteta ameaças e alerta sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Ativar este plano Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para servidores deve estar ativado | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para servidores SQL em máquinas deve estar ativado | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | AuditIfNotExists, desativado | 1.0.2 |
| Azure Defender para SQL deve estar ativado para servidores SQL do Azure não protegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| Azure Defender para SQL deve estar ativado para servidores flexíveis MySQL não protegidos | Audite servidores flexíveis MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para SQL deve estar ativado para servidores flexíveis PostgreSQL não protegidos | Audite servidores flexíveis PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para SQL deve estar ativado para Instâncias Geridas SQL não protegidas | Audite cada SQL Managed Instance sem segurança avançada dos dados. | AuditIfNotExists, desativado | 1.0.2 |
| Azure Event Grid domínios devem usar private link | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Modo de Auditoria, Desativado | 1.0.2 |
| Azure Event Grid tópicos devem usar links privados | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Modo de Auditoria, Desativado | 1.0.2 |
| Azure Key Vault deve ter firewall ativado ou acesso à rede pública desativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público ou desabilite o acesso à rede pública do cofre de chaves para que ele não esteja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security e https://aka.ms/akvprivatelink | Auditoria, Negar, Desativado | 3.3.0 |
| Azure Key Vault deve usar o modelo de permissões RBAC | Habilite o modelo de permissão RBAC nos Cofres de Chaves. Saiba mais em: https://dori-uw-1.kuma-moon.com/en-us/azure/key-vault/general/rbac-migration | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Os Cofres de Chaves devem usar link privado | O Azure Private Link permite-lhe ligar as suas redes virtuais a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os clusters Azure Kubernetes Service devem ter Defender perfil ativado | O Microsoft Defender for Containers oferece capacidades de segurança Kubernetes nativas na cloud, incluindo reforço do ambiente, proteção contra cargas de trabalho e proteção em tempo de execução. Quando ativa o SecurityProfile.AzureDefender no seu cluster Azure Kubernetes Service, um agente é implementado no seu cluster para recolher dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contentores em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Modo de Auditoria, Desativado | 2.0.1 |
| As instâncias de computação Azure Machine Learning devem ser recriadas para obter as atualizações de software mais recentes | Garanta que as instâncias de computação do Azure Machine Learning correm no sistema operativo mais recente disponível. A segurança é melhorada e as vulnerabilidades reduzidas através da execução com os patches de segurança mais recentes. Para mais informações, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Os Computes devem estar numa rede virtual | As Redes Virtuais Azure proporcionam segurança e isolamento reforçados para os seus Clusters e Instâncias de Computação Azure Machine Learning, bem como sub-redes, políticas de controlo de acesso e outras funcionalidades para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual. | Modo de Auditoria, Desativado | 1.0.1 |
| Azure Machine Learning Os Computes devem ter os métodos de autenticação locais desativados | Desativar os métodos de autenticação locais melhora a segurança ao garantir que os Machine Learning Computes requerem identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Auditoria, Negar, Desativado | 2.1.0 |
| Azure Machine Learning espaços de trabalho devem ser encriptados com uma chave gerida pelo cliente | Gerir a encriptação nos restantes dados do espaço de trabalho do Azure Machine Learning com chaves geridas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.1.0 |
| Azure Machine Learning Os espaços de trabalho devem desativar o acesso à rede pública | Desativar o acesso à rede pública melhora a segurança ao garantir que os espaços de trabalho de Machine Learning não sejam expostos na internet pública. Em vez disso, você pode controlar a exposição de seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://dori-uw-1.kuma-moon.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Auditoria, Negar, Desativado | 2.0.1 |
| Os espaços de trabalho Azure Machine Learning devem usar ligação privada | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para espaços de trabalho do Azure Machine Learning, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Modo de Auditoria, Desativado | 1.0.0 |
| O servidor flexível MySQL Azure deve ter Microsoft Entra Autenticação Apenas ativada | Desativar métodos de autenticação local e permitir apenas a Autenticação Microsoft Entra melhora a segurança ao garantir que os servidores flexíveis Azure MySQL possam ser acedidos exclusivamente pelas identidades Microsoft Entra. | AuditIfNotExists, desativado | 1.0.1 |
| Azure Policy O complemento para serviço Kubernetes (AKS) deve estar instalado e ativado nos seus clusters | O Azure Policy Add-on for Kubernetes Service (AKS) estende o Gatekeeper v3, um webhook controlador de admissão para o Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em escala nos seus clusters de forma centralizada e consistente. | Modo de Auditoria, Desativado | 1.0.2 |
| Imagens de contentores Azure do registo devem ter vulnerabilidades resolvidas (alimentadas por Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desativado | 1.0.1 |
| Azure a execução de imagens de contentores deve ter vulnerabilidades resolvidas (alimentado por Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
| Azure SignalR Service deve usar o link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma de ligação privada gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para o seu recurso Azure SignalR Service em vez de todo o serviço, reduzirá os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Modo de Auditoria, Desativado | 1.0.0 |
| Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar injeção virtual de rede para os seguintes fins: 1. Isola o Azure Spring Cloud da Internet. 2. Permitir que o Azure Spring Cloud interaja com sistemas em data centers locais ou em serviços Azure noutras redes virtuais. 3. Capacite os clientes a controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditar, Desabilitar, Negar | 1.2.0 |
| Base de Dados SQL do Azure deve estar a correr TLS versão 1.2 ou mais recente | Definir a versão TLS para 1.2 ou mais recente melhora a segurança ao garantir que o seu Base de Dados SQL do Azure só pode ser acedido a partir de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desabilitar, Negar | 2.0.0 |
| Base de Dados SQL do Azure deve ter a autenticação apenas Microsoft Entra ativada | Exigir que os servidores lógicos SQL do Azure usem autenticação apenas Microsoft Entra. Esta política não impede que os servidores sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| SQL do Azure servidores lógicos devem ter autenticação apenas Microsoft Entra ativada durante a criação | Exigir que servidores lógicos SQL do Azure sejam criados com autenticação apenas Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.3.0 |
| Azure SQL Managed Instance deve ter a autenticação apenas Microsoft Entra ativada | Exigir que o Azure SQL Managed Instance utilize autenticação apenas com Microsoft Entra. Esta política não impede a criação de instâncias SQL do Azure Managed com autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| SQL do Azure As Instâncias Geridas devem desativar o acesso à rede pública | Desativar o acesso à rede pública (endpoint público) nas Instâncias Geridas SQL do Azure melhora a segurança ao garantir que só podem ser acedidas a partir das suas redes virtuais ou através de Endpoints Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| As Instâncias Geridas SQL do Azure devem ter autenticação apenas Microsoft Entra ativada durante a criação | Exigir que o Azure SQL Managed Instance seja criado com autenticação exclusiva do Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.2.0 |
| Firewall de Aplicações Web do Azure deve estar ativado para Azure Front Door pontos de entrada | Implemente o Firewall de Aplicações Web do Azure (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Firewall de Aplicações Web (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Contas bloqueadas com permissões do proprietário sobre Azure recursos devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e escrita em Azure recursos devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Os registos de contentores do Azure aceitam por defeito ligações via internet a partir de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma de ligação privada gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para os seus registos de contentores em vez de todo o serviço, estará também protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. | Modo de Auditoria, Desativado | 1.0.1 |
| As contas de banco de dados do Cosmos DB devem ter métodos de autenticação local desabilitados | Desabilitar métodos locais de autenticação melhora a segurança ao garantir que as contas da base de dados Cosmos DB requerem exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Modo de Auditoria, Desativado | 1.0.0 |
| Os registos de diagnóstico nos recursos Serviços de IA do Azure devem estar ativados | Ativar logs para recursos do Serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Base de Dados do Azure para MySQL suporta a ligação do seu servidor Base de Dados do Azure para MySQL a aplicações clientes usando a Secure Sockets Layer (SSL). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Modo de Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Base de Dados do Azure para PostgreSQL suporta a ligação do seu servidor Base de Dados do Azure para PostgreSQL a aplicações clientes usando a Secure Sockets Layer (SSL). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Modo de Auditoria, Desativado | 1.0.1 |
| Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.1.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.1.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.3.0 |
| Backup geo-redundante deve estar ativado para Azure Database for MariaDB | O Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Modo de Auditoria, Desativado | 1.0.1 |
| Backup geo-redundante deve estar ativado para Base de Dados do Azure para MySQL | Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Modo de Auditoria, Desativado | 1.0.1 |
| Backup geo-redundante deve estar ativado para Base de Dados do Azure para PostgreSQL | O Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Modo de Auditoria, Desativado | 1.0.1 |
| Contas de convidados com permissões de proprietário em Azure recursos devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidados com permissões de leitura em Azure recursos devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidados com permissões de escrita em Azure recursos devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, estarão disponíveis políticas de in-guest como 'O Windows Exploit guard deve estar ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As chaves Key Vault devem ter uma data de validade | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
| Key Vault segredos devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá purgar os seus cofres de chaves durante o período de retenção de eliminação suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.1.0 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host, o namespace IPC do host e o namespace de rede do host em um cluster Kubernetes. Esta recomendação está alinhada com os Padrões de Segurança do Kubernetes Pod para namespaces de host e faz parte do CIS 5.2.1, 5.2.2 e 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 6.0.0 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para Kubernetes Service (AKS) e Kubernetes habilitado pelo Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os pods do cluster do Kubernetes devem utilizar apenas a rede de host e a lista de portas aprovadas | Restrinja o acesso do pod à rede host e às portas de host permitidas em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4, que se destina a melhorar a segurança de seus ambientes Kubernetes e se alinha com os Pod Security Standards (PSS) para hostPorts. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 7.0.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esta funcionalidade está atualmente geralmente disponível para Kubernetes Service (AKS) e em pré-visualização para Kubernetes com Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | Auditoria, Negar, Desativado | 9.0.0 |
| Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 8.0.0 |
| Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
| As máquinas Linux devem cumprir os requisitos para a linha base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.3.1 |
| As máquinas virtuais Linux devem ativar o Azure Disk Encryption ou o EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para remediar. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.1 |
| As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.9.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso Just In Time (JIT) da rede será monitorizado pelo Centro de Segurança do Azure conforme recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| O Microsoft GPSC do Defender deve estar ativado | O Defender Cloud Security Posture Management (CSPM) oferece capacidades de postura melhoradas e um novo gráfico inteligente de segurança na cloud para ajudar a identificar, priorizar e reduzir riscos. O GPSC do Defender está disponível além das funcionalidades gratuitas de postura de segurança fundamental ativadas por defeito no Defender para a Cloud. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para APIs deve estar ativado | O Microsoft Defender para APIs traz novas coberturas de descoberta, proteção, deteção e resposta para monitorizar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Defender para contentores deve estar ativado | O Microsoft Defender for Containers fornece proteções de reforço, avaliação de vulnerabilidades e tempo de execução para os seus ambientes Azure, híbridos e Kubernetes multi-cloud. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para SQL deve estar ativado para espaços de trabalho Synapse não protegidos | Ative o Defender para SQL para proteger os seus espaços de trabalho Synapse. O Defender for SQL monitoriza o seu Synapse SQL para detetar atividades anómalas que indicam tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para armazenamento deve estar ativado | O Microsoft Defender for Storage deteta potenciais ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano Defender for Storage inclui Varredura de Malware e Deteção de Ameaças de Dados Sensíveis. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
| Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| Observador de Rede deve estar ativado | O Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições ao nível de um cenário de rede em, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Só as ligações seguras ao seu Cache do Azure para Redis devem estar ativadas | Ativação de auditoria apenas de ligações via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| As ligações Private endpoint em Base de Dados SQL do Azure devem estar ativadas | As ligações privadas aos endpoints garantem comunicação segura ao permitir a conectividade privada ao Base de Dados SQL do Azure. | Modo de Auditoria, Desativado | 1.1.0 |
| Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As ligações de endpoints privados garantem comunicação segura ao permitir a conectividade privada ao Azure Database for MariaDB. Configure uma ligação privada ao endpoint para permitir o acesso ao tráfego proveniente apenas de redes conhecidas e impeça o acesso a partir de todos os outros endereços IP, incluindo dentro do Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores MySQL | As ligações privadas aos endpoints garantem comunicação segura ao permitir a conectividade privada ao Base de Dados do Azure para MySQL. Configure uma ligação privada ao endpoint para permitir o acesso ao tráfego proveniente apenas de redes conhecidas e impeça o acesso a partir de todos os outros endereços IP, incluindo dentro do Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As ligações de endpoints privados impõem comunicação segura ao permitir a conectividade privada ao Base de Dados do Azure para PostgreSQL. Configure uma ligação privada ao endpoint para permitir o acesso ao tráfego proveniente apenas de redes conhecidas e impeça o acesso a partir de todos os outros endereços IP, incluindo dentro do Azure. | AuditIfNotExists, desativado | 1.0.2 |
| O acesso à rede pública em Base de Dados SQL do Azure deve estar desativado | Desativar a propriedade de acesso à rede pública melhora a segurança ao garantir que a sua Base de Dados SQL do Azure só pode ser acedida a partir de um endpoint privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garanta que a sua base de dados Azure Database for MariaDB só pode ser acedida a partir de um endpoint privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereçamento público fora do alcance IP do Azure e nega todos os logins que correspondam a regras de IP ou firewall baseado em rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso público à rede para melhorar a segurança e garanta que a sua base de dados Base de Dados do Azure para MySQL só pode ser acedida a partir de um endpoint privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereçamento público fora do alcance IP do Azure e nega todos os logins que correspondam a regras de IP ou firewall baseado em rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garanta que a sua base de dados Base de Dados do Azure para PostgreSQL só pode ser acedida a partir de um endpoint privado. Esta configuração desativa o acesso a partir de qualquer espaço de endereçamento público fora do alcance IP do Azure e nega todos os logins que correspondam a regras de firewall baseada em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
| Resource logs na Azure Data Lake Store devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os registos de recursos nos Azure Databricks Workspaces devem estar ativados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
| Os registos de recursos em Azure Kubernetes Service devem estar ativados | Os registos de recursos do Azure Kubernetes Service podem ajudar a recriar trilhos de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existirão quando necessário | AuditIfNotExists, desativado | 1.0.0 |
| Os registos de recursos nos Workspaces Azure Machine Learning devem estar ativados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
| Resource logs no Azure Stream Analytics devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os registos de recursos no Data Lake Analytics devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os registos de recursos no Hub IoT devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
| Os registos de recursos no Key Vault devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os registos de recursos no Service Bus devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Role-Based Controlo de Acesso (RBAC) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem detalhada das ações que os utilizadores podem realizar, utilize o Role-Based Controlo de Acesso (RBAC) para gerir permissões nos Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. | Modo de Auditoria, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Service Fabric clusters devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign | O Service Fabric fornece três níveis de proteção (None, Sign e EncryptAndSign) para comunicação nó a nó usando um certificado primário de cluster. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| Os clusters de Fabric de serviço devem usar apenas Azure Active Directory para autenticação do cliente | Auditar o uso da autenticação do cliente apenas via Azure Active Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Implementar o Encriptação de Dados Transparente (TDE) com a sua própria chave proporciona maior transparência e controlo sobre o TDE Protector, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de máquinas | Para garantir que as suas VMs SQL e servidores SQL com Arc-Arc estão protegidos, certifique-se de que o Azure Monitoring Agent direcionado para SQL está configurado para ser implementado automaticamente. Isto também é necessário se já tiver configurado o autoprovisionamento do Microsoft Monitoring Agent, pois esse componente está a ser obsoleto. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desativado | 1.0.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Implementar o Encriptação de Dados Transparente (TDE) com a sua própria chave proporciona maior transparência e controlo sobre o TDE Protector, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para efeitos de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do seu SQL Server ao destino da conta de armazenamento em pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
| O acesso público da conta de armazenamento não deve ser permitido | O acesso público anónimo de leitura a containers e blobs no Armazenamento do Azure é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar fugas de dados causadas por acessos anónimos indesejados, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário assim o exja. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.1 |
| As contas de armazenamento devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas contas de armazenamento para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir o acesso à chave compartilhada | Requisito de auditoria do Azure Active Directory (Azure AD) para autorizar pedidos para a sua conta de armazenamento. Por defeito, os pedidos podem ser autorizados com credenciais do Azure Active Directory ou utilizando a chave de acesso à conta para autorização da Chave Partilhada. Destes dois tipos de autorização, o Azure AD oferece uma segurança superior e facilidade de utilização em relação ao Shared Key, sendo recomendado pela Microsoft. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas de armazenamento devem impedir o acesso de chave compartilhada (excluindo contas de armazenamento criadas pelo Databricks) | Requisito de auditoria do Azure Active Directory (Azure AD) para autorizar pedidos para a sua conta de armazenamento. Por defeito, os pedidos podem ser autorizados com credenciais do Azure Active Directory ou utilizando a chave de acesso à conta para autorização da Chave Partilhada. Destes dois tipos de autorização, o Azure AD oferece uma segurança superior e facilidade de utilização em relação ao Shared Key, sendo recomendado pela Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir ligações a partir de clientes específicos da internet ou on-premises, pode ser concedido acesso ao tráfego proveniente de redes virtuais específicas do Azure ou a intervalos públicos de endereços IP da internet | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual (excluindo contas de armazenamento criadas pelo Databricks) | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Modo de Auditoria, Desativado | 1.0.3 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| As contas de armazenamento devem usar link privado (excluindo contas de armazenamento criadas pelo Databricks) | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 1.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras da Controlo de Acesso List (ACL) que permitem ou negam o tráfego de rede para a sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| Os espaços de trabalho Synapse devem ter a autenticação apenas Microsoft Entra ativada | Exigir que os Espaços de Trabalho Synapse utilizem autenticação apenas Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.0.0 |
| Synapse Workspaces devem usar apenas Microsoft Entra identidades para autenticação durante a criação do workspace | Exigir que os Espaços de Trabalho Synapse sejam criados com autenticação apenas Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.2.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
| Encriptação de Dados Transparente em bases de dados SQL deve estar ativado | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
| Máquinas virtuais devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política serão não compatíveis quando tiverem a extensão Guest Configuration instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
| Gateways VPN devem usar apenas autenticação Azure Active Directory (Azure AD) para utilizadores point-to-site | Desativar métodos locais de autenticação melhora a segurança ao garantir que os Gateways VPN utilizam apenas identidades do Azure Active Directory para autenticação. Saiba mais sobre autenticação Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| A avaliação de vulnerabilidades deve estar ativada em SQL Managed Instance | Audite cada SQL Managed Instance que não tenha as análises recorrentes de vulnerabilidades ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite servidores SQL do Azure que não tenham a avaliação de vulnerabilidades devidamente configurada. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
| Firewall de Aplicações Web (WAF) deve estar ativado para Application Gateway | Implemente o Firewall de Aplicações Web do Azure (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Firewall de Aplicações Web (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| Windows Defender Exploit Guard deve estar ativado nas suas máquinas | Windows Defender Exploit Guard utiliza o agente de configuração de convidados Azure Policy. O Exploit Guard tem quatro componentes concebidos para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas equilibrem os seus requisitos de risco de segurança e produtividade (apenas para Windows). | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
| As máquinas Windows devem cumprir os requisitos da linha base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.1.1 |
| As máquinas virtuais Windows devem ativar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para remediar. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.1.1 |
Categoria Microsoft Defender para a Cloud
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina Linux Arc | Instale a extensão ChangeTracking em máquinas Linux Arc para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Linux | Instale a extensão ChangeTracking em máquinas virtuais Linux para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve estar instalada na sua máquina Windows Arc | Instale a extensão ChangeTracking em máquinas Windows Arc para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: A extensão ChangeTracking deve estar instalada na sua Windows máquina virtual | Instale a extensão ChangeTracking nas máquinas virtuais Windows para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar Azure Defender para o agente SQL na máquina virtual | Configura Windows máquinas para instalarem automaticamente o Azure Defender para o agente SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho Log Analytics na mesma região da máquina. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 1.0.0-preview |
| [Preview]: Configure conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de escalas de máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure atesta proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 6.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para ativar automaticamente o Arranque Seguro | Configure máquinas virtuais Linux suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações maliciosas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 5.0.0-preview |
| [Preview]: Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation | Configure as máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 7.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas para ativar automaticamente o vTPM | Configure máquinas virtuais suportadas para habilitar automaticamente o vTPM para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure conjuntos de escalas Windows máquinas virtuais suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de escalas de máquinas virtuais Windows suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 4.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas Windows para ativarem automaticamente o Secure Boot | Configure as máquinas virtuais Windows suportadas para ativarem automaticamente o Secure Boot para mitigar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 3.0.0-pré-visualização |
| [Pré-visualização]: Configurar Windows máquinas virtuais suportadas para instalar automaticamente a extensão Guest Attestation | Configure as máquinas virtuais Windows suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 5.1.0-preview |
| [Pré-visualização]: Configurar VMs criadas com imagens Shared Image Gallery para instalar a extensão Guest Attestation | Configure máquinas virtuais criadas com imagens Shared Image Gallery para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure o VMSS criado com imagens Shared Image Gallery para instalar a extensão Guest Attestation | Configure o VMSS criado com imagens do Shared Image Gallery para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.1.0-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em máquinas híbridas Linux | Implementa o agente Microsoft Defender para Endpoint em máquinas híbridas Linux | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em máquinas virtuais Linux | Implementa o agente Microsoft Defender para Endpoint em imagens de VM Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 3.0.0-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em Windows Azure Arc máquinas | Implementa Microsoft Defender para Endpoint em Windows Azure Arc máquinas. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em Windows máquinas virtuais | Implementa o Microsoft Defender para Endpoint em imagens de máquinas virtuais Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-pré-visualização |
| [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instalar a extensão Guest Attestation em máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-preview |
| [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instalar a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Guest Attestation em máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure atesta e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 4.0.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em conjuntos de escalas Windows máquinas virtuais suportadas | Instale a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a conjuntos de escalas de máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 3.1.0-prévia |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender para a Cloud identificou componentes de arranque do sistema operativo não confiáveis em uma ou mais das suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar o Arranque Seguro | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação aplica-se apenas a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: As máquinas devem ter portas fechadas que possam expor vetores de ataque | Os Termos de Uso do Azure proíbem a utilização de serviços Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor Microsoft ou a rede. As portas expostas identificadas por esta recomendação precisam ser fechadas para sua segurança contínua. Para cada porto identificado, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: O Secure Boot deve estar ativado em máquinas virtuais Windows suportadas | Ative o Arranque Seguro nas máquinas virtuais Windows suportadas para mitigar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | Modo de Auditoria, Desativado | 4.0.0-preview |
| [Pré-visualização]: O estado do atestado de convidado de máquinas virtuais deve estar saudável | O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Modo de Auditoria, Desativado | 2.0.0-pré-visualização |
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades para as suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | O Centro de Segurança do Azure identificou algumas das regras de entrada dos seus grupos de segurança de rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os endpoints API em API Management do Azure devem ser autenticados | Os endpoints de API publicados no API Management do Azure devem impor autenticação para ajudar a minimizar riscos de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://dori-uw-1.kuma-moon.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
| Os endpoints API que não sejam utilizados devem ser desativados e removidos do serviço API Management do Azure | Como melhor prática de segurança, endpoints de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço API Management do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Estas podem ser APIs que deveriam ter sido descontinuadas do serviço API Management do Azure, mas que podem ter sido deixadas ativas por engano. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
| Atribuir identidade atribuída ao sistema a SQL Máquinas Virtuais | Atribuir identidade atribuída ao sistema em escala para máquinas virtuais Windows SQL. | DeployIfNotExists, desativado | 1.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Modo de Auditoria, Desativado | 2.0.1 |
| Azure Proteção DDoS deve estar ativada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| Azure Defender para App Service deve estar ativado | Azure Defender para o Serviço de Aplicações aproveita a escala da cloud e a visibilidade que a Azure tem como fornecedora de cloud, para monitorizar ataques comuns a aplicações web. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para Base de Dados SQL do Azure servidores deve estar ativado | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | AuditIfNotExists, desativado | 1.0.2 |
| Azure Defender para Key Vault deve estar ativado | Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas invulgares e potencialmente prejudiciais de aceder ou explorar key vault contas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para bases de dados relacionais open-source deve estar ativado | Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indicam tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para Resource Manager deve estar ativado | Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. Azure Defender deteta ameaças e alerta sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Ativar este plano Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para servidores deve estar ativado | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para servidores SQL em máquinas deve estar ativado | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | AuditIfNotExists, desativado | 1.0.2 |
| Azure Defender para SQL deve estar ativado para servidores flexíveis MySQL não protegidos | Audite servidores flexíveis MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
| Azure Defender para SQL deve estar ativado para servidores flexíveis PostgreSQL não protegidos | Audite servidores flexíveis PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
| Imagens de contentores Azure do registo devem ter vulnerabilidades resolvidas (alimentadas por Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desativado | 1.0.1 |
| Azure a execução de imagens de contentores deve ter vulnerabilidades resolvidas (alimentado por Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
| Contas bloqueadas com permissões do proprietário sobre Azure recursos devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e escrita em Azure recursos devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão ChangeTracking deve ser instalada nos seus conjuntos de escalas de máquinas virtuais Linux | Instale a extensão ChangeTracking em conjuntos de escalas de máquinas virtuais Linux para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.1 |
| A extensão ChangeTracking deve estar instalada nos seus conjuntos de escalas de máquinas virtuais Windows | Instale a extensão ChangeTracking em conjuntos de escalas de máquinas virtuais Windows para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.1 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função do Serviço de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a nenhuma vulnerabilidade do sistema operacional. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) garantindo que as atualizações críticas e de segurança mais recentes sejam instaladas nelas. | AuditIfNotExists, desativado | 1.0.0 |
| Configure Advanced Threat Protection para ser ativado numa base de dados Azure para servidores flexíveis MySQL | Ative o Advanced Threat Protection na sua base de dados Azure para servidores flexíveis MySQL para detetar atividades anómalas que indicem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Advanced Threat Protection para ser ativado numa base de dados Azure para servidores flexíveis PostgreSQL | Ative o Advanced Threat Protection na sua base de dados Azure para servidores flexíveis PostgreSQL para detetar atividades anómalas que indiquem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | DeployIfNotExists, desativado | 1.1.0 |
| Configure servidores SQL habilitados para Arc para instalar automaticamente Azure Monitor Agent | Automatize a implementação da extensão Azure Monitor Agent nos seus servidores SQL com Windows Arc. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
| Configure servidores SQL com Arc para instalar automaticamente Microsoft Defender para SQL | Configure servidores SQL com Windows Arc para instalar automaticamente o agente Microsoft Defender for SQL. O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | DeployIfNotExists, desativado | 1.2.0 |
| Configure servidores SQL habilitados para Arc para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho Log Analytics | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Recolha de Dados e um espaço de trabalho de Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.6.0 |
| Configure servidores SQL habilitados para Arc para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho LA definido pelo utilizador | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Recolha de Dados na mesma região do espaço de trabalho Log Analytics definido pelo utilizador. | DeployIfNotExists, desativado | 1.8.0 |
| Configure servidores SQL habilitados para Arc com Data Collection Rule Association para Microsoft Defender para SQL DCR | Configurar a associação entre os SQL Servers com Arc e o Microsoft Defender para SQL DCR. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.1.0 |
| Configure servidores SQL habilitados para Arc com Data Collection Rule Association para Microsoft Defender para SQL definido pelo utilizador DCR | Configure a associação entre servidores SQL com Arc e o Microsoft Defender for SQL DCR definido pelo utilizador. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.3.0 |
| Configure Azure Defender para que o Serviço de Aplicações esteja ativado | Azure Defender para o Serviço de Aplicações aproveita a escala da cloud e a visibilidade que a Azure tem como fornecedora de cloud, para monitorizar ataques comuns a aplicações web. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Defender para SQL do Azure base de dados ser ativada | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Defender para que bases de dados relacionais open-source sejam ativadas | Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indicam tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Defender para que Resource Manager esteja ativado | Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. Azure Defender deteta ameaças e alerta sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Ativar este plano Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | DeployIfNotExists, desativado | 1.1.0 |
| Configure Azure Defender para que os servidores estejam ativados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Defender para servidores SQL em máquinas a serem ativados | Azure Defender para SQL fornece funcionalidades para revelar e mitigar potenciais vulnerabilidades na base de dados, detetar atividades anómalas que possam indicar ameaças a bases de dados SQL e descobrir e classificar dados sensíveis. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar Microsoft Defender básico para o Armazenamento estar ativado (apenas Monitorização de Atividade) | O Microsoft Defender for Storage fornece deteção de ameaças nativa no Azure para contas de armazenamento. Esta política habilita recursos básicos (Monitoramento de Atividades). Para obter proteção total, incluindo verificação de malware e descoberta de dados confidenciais, use aka.ms/DFStoragePolicy. Atualização da versão principal: PerTransaction não é mais suportado para novas habilitações após 5 de fevereiro de 2025. As contas existentes que o utilizam continuam a ser suportadas. Saiba mais: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar a extensão ChangeTracking para máquinas Linux Arc | Configure as máquinas Linux Arc para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais Linux | Configure conjuntos de escalas de máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure as máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.2.0 |
| Configure a extensão ChangeTracking para Windows máquinas Arc | Configure as máquinas Windows Arc para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configure a ChangeTracking Extension para Windows conjuntos de escalas de máquinas virtuais | Configure conjuntos de escalas de máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configure a Extensão ChangeTracking para Windows máquinas virtuais | Configure as máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.2.0 |
| Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | Azure Defender inclui varredura de vulnerabilidades para as suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando ativa esta política, Azure Defender implementa automaticamente o fornecedor de avaliação de vulnerabilidades Qualys para todas as máquinas suportadas que ainda não o tenham instalado. | DeployIfNotExists, desativado | 4.0.0 |
| Configure o plano Microsoft GPSC do Defender | O Defender Cloud Security Posture Management (CSPM) oferece capacidades de postura melhoradas e um novo gráfico inteligente de segurança na cloud para ajudar a identificar, priorizar e reduzir riscos. O GPSC do Defender está disponível além das funcionalidades gratuitas de postura de segurança fundamental ativadas por defeito no Defender para a Cloud. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o GPSC do Defender Microsoft para estar ativado | O Defender Cloud Security Posture Management (CSPM) oferece capacidades de postura melhoradas e um novo gráfico inteligente de segurança na cloud para ajudar a identificar, priorizar e reduzir riscos. O GPSC do Defender está disponível além das funcionalidades gratuitas de postura de segurança fundamental ativadas por defeito no Defender para a Cloud. | DeployIfNotExists, desativado | 1.0.2 |
| Configure Microsoft Defender para que Azure Cosmos DB esteja ativado | Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bases de dados nas suas contas Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções SQL, agentes maliciosos conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou insiders maliciosos. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Microsoft Defender para o plano de Containers | Novas funcionalidades estão a ser continuamente adicionadas ao plano Defender for Containers, o que pode exigir a habilitação explícita do utilizador. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.5.0 |
| Configure Microsoft Defender para que os Containers estejam ativados | O Microsoft Defender for Containers fornece proteções de reforço, avaliação de vulnerabilidades e tempo de execução para os seus ambientes Azure, híbridos e Kubernetes multi-cloud. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar as definições Microsoft Defender para Endpoint integração com Microsoft Defender para a Cloud (WDATP_EXCLUDE_LINUX...) | Configura as definições Microsoft Defender para Endpoint de integração, dentro do Microsoft Defender para a Cloud (também conhecido como WDATP_EXCLUDE_LINUX_...), para ativar o provisionamento automático do MDE para servidores Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar as definições de integração Microsoft Defender para Endpoint com Microsoft Defender para a Cloud (WDATP_UNIFIED_SOLUTION) | Configura as definições de integração Microsoft Defender para Endpoint, dentro do Microsoft Defender para a Cloud (também conhecido como WDATP_UNIFIED_SOLUTION), para permitir o autoprovisionamento do MDE Unified Agent para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar as definições de integração Microsoft Defender para Endpoint com Microsoft Defender para a Cloud (WDATP) | Configura as definições de integração do Microsoft Defender para Endpoint, dentro do Microsoft Defender para a Cloud (também conhecido como WDATP), para máquinas Windows downlevel integradas ao MDE via MMA, e o autoprovisionamento do MDE no Windows Server 2019, Windows Virtual Desktop e superiores. Deve ser ativado para que as outras configurações (WDATP_UNIFIED, etc.) funcionem. Consulte: https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Microsoft Defender para Key Vault plano | O Microsoft Defender for Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas invulgares e potencialmente prejudiciais de aceder ou explorar contas do key vault. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar Microsoft Defender para o plano de servidores | Novas funcionalidades estão a ser continuamente adicionadas ao Defender for Servers, o que pode exigir a habilitação explícita do utilizador. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Microsoft Defender para o plano de servidores (P1 OU P2) | Assegura que o subplano selecionado do Microsoft Defender para Servidores (P1 ou P2) está ativado ao nível da subscrição. Esta política oferece suporte à seleção dinâmica por meio de parâmetros e impõe a implantação, se ainda não estiver configurada. | DeployIfNotExists, desativado | 1.1.0 |
| Configure Microsoft Defender para o SQL ser ativado nos espaços de trabalho Synapse | Ative o Microsoft Defender for SQL nos seus espaços de trabalho do Azure Synapse para detetar atividades anómalas que indicem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados SQL. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Microsoft Defender para o Armazenamento estar ativado | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta potenciais ameaças às suas contas de armazenamento. Esta política permitirá todas as capacidades do Defender for Storage; Monitorização de Atividade, Análise de Malware e Deteção de Ameaças de Dados Sensíveis. Para saber mais sobre Defender capacidades e benefícios de armazenamento, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.5.0 |
| Configure Microsoft Defender proteção contra ameaças para Serviços de IA | Novos recursos estão sendo continuamente adicionados à proteção contra ameaças para Serviços de IA, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.1.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Azure Monitor Agent | Automatize a implementação da extensão Azure Monitor Agent nas suas Windows SQL Máquinas Virtuais. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.6.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL | Configure Windows SQL Máquinas Virtuais para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | DeployIfNotExists, desativado | 1.6.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho Log Analytics | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Recolha de Dados e um espaço de trabalho de Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.9.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho LA definido pelo utilizador | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Recolha de Dados na mesma região do espaço de trabalho Log Analytics definido pelo utilizador. | DeployIfNotExists, desativado | 1.10.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender extensão SQL | Configure Windows SQL Máquinas Virtuais para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | DeployIfNotExists, desativado | 1.0.0 |
| Configure o Microsoft Defender para SQL Log Analytics workspace | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos e um espaço de trabalho Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.5.0 |
| Criar e atribuir uma identidade gerenciada atribuída pelo usuário interna | Crie e atribua uma identidade gerenciada interna atribuída pelo usuário em escala para máquinas virtuais SQL. | AuditIfNotExists, DeployIfNotExists, desativado | 1.8.0 |
| Deploy - Configurar regras de supressão para alertas de Centro de Segurança do Azure | Suprima alertas do Centro de Segurança do Azure para reduzir a fadiga dos alertas, implementando regras de supressão no seu grupo de gestão ou subscrição. | deployIfNotExists | 1.0.0 |
| Deploy export para o Event Hub como um serviço de confiança para dados Microsoft Defender para a Cloud | Ative a exportação para o Event Hub como um serviço de confiança dos dados do Microsoft Defender para a Cloud. Esta política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desativado | 1.0.0 |
| Exportar para o Event Hub para Microsoft Defender para a Cloud dados | Ativar a exportação para o Event Hub do Microsoft Defender para a Cloud dados. Esta política implanta uma exportação para a configuração do Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
| Exportar para Log Analytics espaço de trabalho para Microsoft Defender para a Cloud dados | Ative a exportação para o espaço de trabalho Log Analytics dos dados do Microsoft Defender para a Cloud. Esta política implementa uma exportação para a configuração do espaço de trabalho do Log Analytics com as suas condições e o espaço de trabalho alvo no âmbito atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender para a Cloud alerts | Ativar a automação dos alertas do Microsoft Defender para a Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation para Microsoft Defender para a Cloud recomendações | Ativem a automação das recomendações do Microsoft Defender para a Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender para a Cloud compliance regulatório | Ativar a automação do Microsoft Defender para a Cloud para a conformidade regulatória. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
| Ativa Microsoft Defender para a Cloud na tua subscrição | Identifica subscrições existentes que não são monitorizadas pelo Microsoft Defender para a Cloud e protege-as com as funcionalidades gratuitas do Defender para a Cloud. As subscrições já monitorizadas serão consideradas conformes. Para registrar assinaturas recém-criadas, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
| Ative o aprovisionamento automático do agente de Log Analytics no Security Center nas suas subscrições com o custom workspace. | Permita que o Centro de Segurança aprovisione automaticamente o agente Log Analytics nas suas subscrições para monitorizar e recolher dados de segurança usando um espaço de trabalho personalizado. | DeployIfNotExists, desativado | 1.0.0 |
| Permita que o Centro de Segurança aprovisione automaticamente o agente Log Analytics nas suas subscrições para monitorizar e recolher dados de segurança usando o espaço de trabalho padrão do ASC. | DeployIfNotExists, desativado | 1.0.0 | |
| Habilite a proteção contra ameaças para cargas de trabalho de IA | A proteção contra ameaças da Microsoft para cargas de trabalho em IA fornece alertas de segurança contextualizados e baseados em evidências, destinados a proteger aplicações caseiras alimentadas por IA generativa | DeployIfNotExists, desativado | 1.0.0 |
| Contas de convidados com permissões de proprietário em Azure recursos devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidados com permissões de leitura em Azure recursos devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidados com permissões de escrita em Azure recursos devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, estarão disponíveis políticas de in-guest como 'O Windows Exploit guard deve estar ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Modo de Auditoria, Desativado | 1.0.2 |
| O agente Log Analytics deve estar instalado nas instâncias do seu papel de Serviços Cloud (suporte estendido) | A Central de Segurança coleta dados de suas instâncias de função de Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso Just In Time (JIT) da rede será monitorizado pelo Centro de Segurança do Azure conforme recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| O Microsoft GPSC do Defender deve estar ativado | O Defender Cloud Security Posture Management (CSPM) oferece capacidades de postura melhoradas e um novo gráfico inteligente de segurança na cloud para ajudar a identificar, priorizar e reduzir riscos. O GPSC do Defender está disponível além das funcionalidades gratuitas de postura de segurança fundamental ativadas por defeito no Defender para a Cloud. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para Serviços de IA deve estar ativado | Faça uma auditoria para ver se o Microsoft Defender para Serviços de IA está ativado na subscrição. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para APIs deve estar ativado | O Microsoft Defender para APIs traz novas coberturas de descoberta, proteção, deteção e resposta para monitorizar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Defender para Azure Cosmos DB deve estar ativado | Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bases de dados nas suas contas Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções SQL, agentes maliciosos conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou insiders maliciosos. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para contentores deve estar ativado | O Microsoft Defender for Containers fornece proteções de reforço, avaliação de vulnerabilidades e tempo de execução para os seus ambientes Azure, híbridos e Kubernetes multi-cloud. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para SQL deve estar ativado para espaços de trabalho Synapse não protegidos | Ative o Defender para SQL para proteger os seus espaços de trabalho Synapse. O Defender for SQL monitoriza o seu Synapse SQL para detetar atividades anómalas que indicam tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender para armazenamento deve estar ativado | O Microsoft Defender for Storage deteta potenciais ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano Defender for Storage inclui Varredura de Malware e Deteção de Ameaças de Dados Sensíveis. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Role-Based Controlo de Acesso (RBAC) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem detalhada das ações que os utilizadores podem realizar, utilize o Role-Based Controlo de Acesso (RBAC) para gerir permissões nos Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. | Modo de Auditoria, Desativado | 1.1.0 |
| O nível de preço padrão da Central de Segurança deve ser selecionado | O escalão de preços padrão permite a deteção de ameaças em redes e máquinas virtuais, fornecendo inteligência de ameaças, deteção de anomalias e análise de comportamento no Centro de Segurança do Azure | Modo de Auditoria, Desativado | 1.1.0 |
| Configurar subscrições para fazer a transição para uma solução alternativa de avaliação de vulnerabilidades | O Microsoft Defender para cloud oferece análise de vulnerabilidades para as suas máquinas sem custos adicionais. Ativar esta política fará com que o Defender para a Cloud propague automaticamente as conclusões da solução integrada de gestão de vulnerabilidades do Microsoft Defender para todas as máquinas suportadas. | DeployIfNotExists, desativado | 1.0.0-preview |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de máquinas | Para garantir que as suas VMs SQL e servidores SQL com Arc-Arc estão protegidos, certifique-se de que o Azure Monitoring Agent direcionado para SQL está configurado para ser implementado automaticamente. Isto também é necessário se já tiver configurado o autoprovisionamento do Microsoft Monitoring Agent, pois esse componente está a ser obsoleto. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desativado | 1.0.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras da Controlo de Acesso List (ACL) que permitem ou negam o tráfego de rede para a sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política serão não compatíveis quando tiverem a extensão Guest Configuration instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Próximos passos
Neste artigo, aprendeu sobre as definições de políticas de segurança do Azure Policy no Defender para a Cloud. Para saber mais sobre iniciativas, políticas e como se relacionam com as recomendações da Defender para a Cloud, consulte O que são políticas, iniciativas e recomendações de segurança?.