Microsoft Defender for Cloudの組み込み定義をAzure Policyする

このページは、Microsoft Defender for Cloudに関連するAzure Policy組み込みのポリシー定義のインデックスです。 次のポリシー定義のグループを使用できます。

セキュリティ ポリシーの詳細については、「セキュリティ ポリシーの操作」を参照してください。 他のサービスのその他のAzure Policy組み込みについては、Azure Policy組み込み定義を参照してください。

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

Microsoft Defender for Cloudの取り組み

Defender for Cloudによって監視される組み込みイニシアチブについては、次の表を参照してください。

Name 説明 Policies Version
[プレビュー]: Microsoft Defender for Endpoint エージェントのデプロイ 該当するイメージMicrosoft Defender for Endpointエージェントをデプロイします。 4 1.0.0-preview
[プレビュー]: クラウド セキュリティ ベンチマーク v2 Microsoftクラウド セキュリティ ベンチマーク イニシアチブは、クラウド セキュリティ ベンチマークで定義されているセキュリティに関する推奨事項Microsoft実装するポリシーと制御を表します。https://aka.ms/azsecbm を参照してください。 これは、既定のポリシー イニシアチブMicrosoft Defender for Cloudとしても機能します。 このイニシアチブを直接割り当てたり、Microsoft Defender for Cloud内でそのポリシーとコンプライアンスの結果を管理したりできます。 414 1.3.0-preview
オープンソース リレーショナル データベースで有効にする構成高度な脅威保護 Basic レベル以外のオープン ソース リレーショナル データベースで高度な脅威保護を有効にして、データベースへのアクセスや悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 https://aka.ms/AzDforOpenSourceDBsDocuを参照してください。 5 1.2.0
SQL Server および SQL Managed Instance で有効にする構成Azure Defender SQL Server と SQL Managed Instance のAzure Defenderを有効にして、データベースへのアクセスや悪用を試みる、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 3 3.0.0
プランMicrosoft Defender for Cloud構成 Microsoft Defender for Cloudは、マルチクラウド環境での開発から実行時までの包括的なクラウドネイティブ保護を提供します。 ポリシー イニシアチブを使用して、選択したスコープDefender for Cloud有効にするプランと拡張機能を構成します。 12 1.1.0
データベースの構成Microsoft Defenderを有効にする Azure SQL データベース、マネージド インスタンス、オープン ソース リレーショナル データベース、Cosmos DB を保護するようにデータベースのMicrosoft Defenderを構成します。 4 1.0.0
Microsoft Defender for Cloud Microsoft Defender for Cloud (WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTIONなど) を使用して複数のMicrosoft Defender for Endpoint統合設定を構成します。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 3 1.0.0
拡張機能をインストールするための SQL VM と Arc 対応 SQL Server の構成Microsoft Defender sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 3 1.0.0
LA ワークスペースを使用して SQL と AMA のMicrosoft Defenderをインストールするための SQL VM と Arc 対応 SQL Server の構成 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとデータ収集規則とLog Analytics ワークスペースを作成します。 9 1.3.0
ユーザー定義の LA ワークスペースを使用して SQL と AMA のMicrosoft Defenderをインストールするための SQL VM と Arc 対応 SQL Server の構成 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 8 1.2.0
Microsoftクラウド セキュリティ ベンチマーク Microsoftクラウド セキュリティ ベンチマーク イニシアチブは、クラウド セキュリティ ベンチマークで定義されているセキュリティに関する推奨事項Microsoft実装するポリシーと制御を表します。https://aka.ms/azsecbm を参照してください。 これは、既定のポリシー イニシアチブMicrosoft Defender for Cloudとしても機能します。 このイニシアチブを直接割り当てたり、Microsoft Defender for Cloud内でそのポリシーとコンプライアンスの結果を管理したりできます。 2:23 57.56.0

Defender for Cloudの既定のイニシアティブ (クラウド セキュリティ ベンチマークMicrosoft)

Defender for Cloudによって監視される組み込みポリシーの詳細については、次の表を参照してください。

ポリシー名
(Azure ポータル)
説明 Effect(s) Version
(GitHub)
[プレビュー]: すべてのインターネット トラフィックは、デプロイされた Azure Firewall Azure Security Centerは、一部のサブネットが次世代ファイアウォールで保護されていないことを確認しました。 Azure Firewallまたはサポートされている次世代ファイアウォールを使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護する AuditIfNotExists、Disabled 3.0.0-preview
[プレビュー]: 有効になっている Kubernetes クラスター Azure Arc Microsoft Defender for Cloud拡張機能がインストールされている必要があります Azure ArcのMicrosoft Defender for Cloud拡張機能は、Arc 対応 Kubernetes クラスターの脅威保護を提供します。 この拡張機能は、クラスター内のすべてのノードからデータを収集し、さらに分析するためにクラウドの Kubernetes バックエンドのAzure Defenderに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: PostgreSQL フレキシブル サーバー Azure認証のみMicrosoft Entra有効にする必要があります ローカル認証方法を無効にし、Microsoft Entra認証のみを許可することで、Azure PostgreSQL フレキシブル サーバーにMicrosoft Entra ID によって排他的にアクセスできるようにすることで、セキュリティが向上します。 監査: 無効化 1.0.0-preview
[プレビュー]: Azure Stack HCI サーバーは、一貫してアプリケーション制御ポリシーを適用する必要があります 少なくとも、Microsoft WDAC 基本ポリシーを、すべてのAzure Stack HCI サーバーに適用モードで適用します。 適用Windows Defenderアプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 Audit、Disabled、AuditIfNotExists 1.0.0-preview
[プレビュー]: Azure Stack HCI サーバーは、セキュリティで保護されたコア要件を満たす必要があります すべてのAzure Stack HCI サーバーが、セキュリティで保護されたコア要件を満たしていることを確認します。 セキュリティで保護されたコア サーバーの要件を有効にするには: 1. Azure Stack HCI クラスター ページで、Windows Admin Centerに移動し、[接続] を選択します。 2. セキュリティ拡張機能に移動し、セキュリティで保護されたコアを選びます。 3. 有効になっていない設定を選び、[有効] をクリックします。 Audit、Disabled、AuditIfNotExists 1.0.0-preview
[プレビュー]: Azure Stack HCI システムには暗号化されたボリュームが必要です BitLocker を使用して、Azure Stack HCI システム上の OS とデータ ボリュームを暗号化します。 Audit、Disabled、AuditIfNotExists 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 5.1.0-preview
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 AuditIfNotExists、Disabled 4.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 3.1.0-preview
[プレビュー]: ホストと VM のネットワークは、Azure Stack HCI システムで保護する必要があります Azure Stack HCI ホスト ネットワークと仮想マシン ネットワーク接続上のデータを保護します。 Audit、Disabled、AuditIfNotExists 1.0.0-preview
[プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloudは、1 つ以上の Linux マシンで信頼されていない OS ブート コンポーネントを特定しました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要 Security Center では、Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.2-preview
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある Security Center では、Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.2-preview
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある サポートされているWindows仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 監査: 無効化 4.0.0-preview
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 監査: 無効化 2.0.0-preview
サブスクリプションには最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 AuditIfNotExists、Disabled 3.0.0
Microsoft Entra管理者は MySQL サーバー用にプロビジョニングする必要があります mySQL サーバーのMicrosoft Entra管理者のプロビジョニングを監査して、Microsoft Entra認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.1.1
PostgreSQL サーバーに対してMicrosoft Entra管理者をプロビジョニングする必要があります PostgreSQL サーバーのMicrosoft Entra管理者のプロビジョニングを監査して、Microsoft Entra認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.1
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションが実行されているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 さらに、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0
仮想マシン に関連付けられているネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があります Azure Security Center では、ネットワーク セキュリティ グループの受信規則の一部があまりにも寛容であると検出しました。 受信規則では、'Any' または 'Internet' の範囲からのアクセスを許可しないでください。 これにより、攻撃者がリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
Azure API ManagementのAPI エンドポイントは認証する必要があります Azure API Management内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 これにより、攻撃者は実装上の欠陥を悪用し、データをaccessできます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists、Disabled 1.0.1
使用されていない API エンドポイントは無効にして、Azure API Management サービスから削除する必要があります セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスから非推奨とされているはずの API ですが、誤ってアクティブなままになっている可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 AuditIfNotExists、Disabled 1.0.1
API Management APIs では暗号化されたプロトコルのみを使用する必要があります 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 監査、無効、拒否 2.0.2
API Management API バックエンドの呼び出しを認証する必要があります API Managementからバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 サービス Fabric バックエンドには適用されません。 監査、無効、拒否 1.0.1
API Management API バックエンドの呼び出しでは、証明書の拇印や名前の検証をバイパスしないでください API のセキュリティを向上させるには、API Managementはすべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 監査、無効、拒否 1.0.2
API Managementダイレクト管理エンドポイントを有効にしないでください Azure API Managementのダイレクト管理 REST API では、ロールベースのアクセス制御、承認、調整メカニズムAzure Resource Managerバイパスされるため、サービスの脆弱性が高まります。 監査、無効、拒否 1.0.2
API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 監査、無効、拒否 1.0.2
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 監査、拒否、無効化 1.0.2
API Management は、サービス構成エンドポイントへのパブリック ネットワーク accessを無効にする必要があります API Management サービスのセキュリティを強化するには、ダイレクト access管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限します。 AuditIfNotExists、Disabled 1.0.1
API Management サブスクリプションのスコープをすべての API に限定することはできない API Management サブスクリプションは、データが過剰に露出する恐れがあるすべての API ではなく、製品または個々の API にスコープを設定する必要があります。 監査、無効、拒否 1.1.0
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリではリモート デバッグをオフにする必要がある リモート デバッグでは、App Service アプリで受信ポートを開く必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
App Service アプリでリソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 2.0.1
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成してはならない クロスオリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 AuditIfNotExists、Disabled 2.0.0
App Service アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 監査、無効、拒否 4.0.0
App Service アプリは FTPS のみを要求する必要がある セキュリティを強化するために FTPS の強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
App Service アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
App Service アプリでは、最新の TLS バージョン セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、App Service アプリの最新の TLS バージョンにアップグレードします。 AuditIfNotExists、Disabled 2.2.0
カスタム RBAC ロールの使用状況を監査する エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります 監査: 無効化 1.0.1
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
Linux マシンに対する認証では SSH キーを要求する必要がある SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 SSH 経由で Azure Linux 仮想マシンに対して認証するための最も安全なオプションは、公開キーと秘密キーのペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 AuditIfNotExists、Disabled 3.2.0
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 監査: 無効化 2.0.1
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です 監査、拒否、無効化 1.1.0
Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 監査、拒否、無効化 2.2.0
Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) キー アクセス (ローカル認証) は、セキュリティのために無効にすることをお勧めします。 通常、開発/テストで使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になり、最小限の特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください 監査、拒否、無効化 1.1.0
Azure AI Services のリソースはネットワーク アクセスを制限する必要があります ネットワーク アクセスを制限することで、許可されたネットワークのみがサービスにアクセスできることを確認できます。 これは、許可されたネットワークのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク ルールを構成することで実現できます。 監査、拒否、無効化 3.3.0
Azure AI Services リソースでは Azure Private Link Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 監査: 無効化 1.0.0
Azure API Management プラットフォームのバージョンは stv2 Azure API Management stv1 コンピューティング プラットフォーム バージョンは 2024 年 8 月 31 日に廃止され、これらのインスタンスは引き続きサポートするために stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください 監査、拒否、無効化 1.0.0
Azure Arc有効な Kubernetes クラスターには、Azure Policy拡張機能がインストールされている必要があります Azure ArcのAzure Policy拡張機能は、Arc 対応 Kubernetes クラスターに対する大規模な適用と保護を一元的かつ一貫した方法で提供します。 詳細については、https://aka.ms/akspolicydocを参照してください。 AuditIfNotExists、Disabled 1.1.0
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure 仮想マシン の保護を確保します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 3.0.0
Azure Cache for Redis でプライベート リンクを使用する必要がある プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
Azure Cosmos DB アカウントにはファイアウォール規則が必要です 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントにファイアウォール規則を定義する必要があります。 virtual network フィルターを有効にして少なくとも 1 つの IP 規則が定義されているアカウントは、準拠していると見なされます。 一般公開アクセスを無効にするアカウントも準拠していると見なされます。 監査、拒否、無効化 2.1.0
Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります カスタマー マネージド キーを使用して、Azure Cosmos DB の残りの部分の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、https://aka.ms/cosmosdb-cmkを参照してください。 監査、監査、拒否、拒否、無効、無効 1.1.0
Azure Cosmos DBはパブリック ネットワーク アクセスを無効にする必要があります 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 監査、拒否、無効化 1.0.0
Azure Databricks クラスターはパブリック IP Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 監査、拒否、無効化 1.0.1
Azure Databricks ワークスペースは仮想ネットワークに存在する必要があります Azure仮想ネットワークでは、Azure Databricks ワークスペースだけでなく、サブネット、アクセス制御ポリシー、その他の機能のセキュリティと分離が強化され、アクセスをさらに制限できます。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 監査、拒否、無効化 1.0.2
Azure Databricks ワークスペースはパブリック ネットワーク アクセスを無効にする必要があります パブリック ネットワーク accessを無効にすると、リソースがパブリック インターネット上で公開されないようにすることで、セキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 監査、拒否、無効化 1.0.1
Azure Databricks ワークスペースではプライベート リンクを使用する必要があります Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをAzure Databricksワークスペースにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 監査: 無効化 1.0.2
Azure DDoS Protection を有効にする必要があります パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.1
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
Azure SQL Database サーバーのAzure Defenderを有効にする必要があります Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 AuditIfNotExists、Disabled 1.0.2
Key VaultのAzure Defenderを有効にする必要があります Key VaultのAzure Defenderは、通常とは異なる、有害な可能性のあるアカウントへのアクセスや悪用の試行を検出することで、保護とセキュリティ インテリジェンスkey vault追加のレイヤーを提供します。 AuditIfNotExists、Disabled 1.0.3
オープン ソース リレーショナル データベースのAzure Defenderを有効にする必要があります オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
Resource ManagerのAzure Defenderを有効にする必要があります Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバーのAzure Defenderを有効にする必要があります サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 AuditIfNotExists、Disabled 1.0.3
マシン上の SQL サーバーのAzure Defenderを有効にする必要があります Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 AuditIfNotExists、Disabled 1.0.2
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
Azure Defender for SQL は、保護されていない MySQL フレキシブル サーバーに対して有効にする必要があります Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
Azure Defender for SQL は、保護されていない PostgreSQL フレキシブル サーバーに対して有効にする必要があります Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Azure Event Grid ドメインではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 監査: 無効化 1.0.2
Azure Event Grid トピックではプライベート リンクを使用する必要があります Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 監査: 無効化 1.0.2
Azure Key Vaultでファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります パブリック IP が既定でkey vaultにアクセスできないようにkey vaultファイアウォールを有効にするか、パブリック インターネット経由でアクセスできないように、key vaultのパブリック ネットワーク accessを無効にします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細情報: https://docs.microsoft.com/azure/key-vault/general/network-security および https://aka.ms/akvprivatelink 監査、拒否、無効化 3.3.0
Azure Key Vault は RBAC アクセス許可モデルを使用する必要があります Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細については、https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration を参照してください 監査、拒否、無効化 1.0.1
Azure Key Vault はプライベート リンクを使用する必要があります Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをkey vaultにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 [parameters('audit_effect')] 1.2.1
Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 監査: 無効化 2.0.1
Azure Machine Learning コンピューティング インスタンスを再作成して、最新のソフトウェア更新プログラムを取得する必要があります コンピューティング インスタンスAzure Machine Learning、使用可能な最新のオペレーティング システムで実行されていることを確認します。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、 https://aka.ms/azureml-ci-updates/を参照してください。 [parameters('effects')] 1.0.3
Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 監査: 無効化 1.0.1
Azure Machine Learning コンピューティングでは、ローカル認証方法が無効になっている必要があります ローカル認証方法を無効にすると、Machine Learningコンピューティングで認証専用のAzure Active Directory ID が必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 監査、拒否、無効化 2.1.0
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、https://aka.ms/azureml-workspaces-cmkを参照してください。 監査、拒否、無効化 1.1.0
Azure Machine Learning ワークスペースはパブリック ネットワーク アクセスを無効にする必要があります パブリック ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 代わりにプライベート エンドポイントを作成することで、ワークスペースの公開を制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal 監査、拒否、無効化 2.0.1
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要があります Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 監査: 無効化 1.0.0
Azure MySQL フレキシブル サーバーでは、認証のみMicrosoft Entra有効にする必要があります ローカル認証方法を無効にし、Microsoft Entra認証のみを許可すると、Azure MySQL フレキシブル サーバーにMicrosoft Entra ID によって排他的にアクセスできるようにすることで、セキュリティが向上します。 AuditIfNotExists、Disabled 1.0.1
Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります Kubernetes Service (AKS) 用のAzure Policyアドオンは、Open Policy Agent (OPA) のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張し、クラスターに大規模な適用と保護を一元的かつ一貫した方法で適用します。 監査: 無効化 1.0.2
Azureレジストリ コンテナー イメージに脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 AuditIfNotExists、Disabled 1.0.1
Azure実行中のコンテナー イメージには、脆弱性 (Microsoft Defender 脆弱性の管理 を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 現在実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃surfaceを大幅に削減するための鍵となります。 AuditIfNotExists、Disabled 1.0.1
Azure SignalR Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 監査: 無効化 1.0.0
Azure Spring Cloud でネットワークの挿入を使用する必要がある Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 監査、無効、拒否 1.2.0
Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります TLS バージョンを 1.2 以降に設定すると、TLS 1.2 以降を使用するクライアントからのみAzure SQL Databaseにアクセスできるようにすることで、セキュリティが向上します。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 監査、無効、拒否 2.0.0
Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある 論理サーバー Azure SQL Microsoft Entra専用認証を使用する必要があります。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 監査、拒否、無効化 1.0.0
Azure SQL論理サーバーでは、作成時にMicrosoft Entra専用認証が有効になっている必要があります Microsoft Entra専用認証Azure SQL論理サーバーを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 監査、拒否、無効化 1.3.0
Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra専用認証を使用するには、Azure SQL Managed Instanceが必要です。 このポリシーは、ローカル認証を有効にしてマネージド インスタンスAzure SQL作成することをブロックしません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 監査、拒否、無効化 1.0.0
Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 監査、拒否、無効化 1.0.0
Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra専用認証を使用してAzure SQL Managed Instanceを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 監査、拒否、無効化 1.2.0
Azure Web Application Firewallは、Azure Front Doorエントリ ポイント 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 監査、拒否、無効化 1.0.2
リソースに対する所有者アクセス許可を持つブロックされたアカウントAzure削除する必要があります 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントAzure削除する必要があります 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
証明書には最長有効期間を指定する必要がある キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 監査、監査、拒否、拒否、無効、無効 2.2.1
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、https://aka.ms/acr/CMKを参照してください。 監査、拒否、無効化 1.1.2
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelinkhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet 監査、拒否、無効化 2.0.0
Container レジストリでは、private link Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。サービス全体ではなく、プライベート エンドポイントをコンテナー レジストリにマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 監査: 無効化 1.0.1
Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要があります ローカル認証方法を無効にすると、Cosmos DB データベース アカウントで認証にAzure Active Directory ID のみが必要とされ、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 監査、拒否、無効化 1.2.0
CosmosDB アカウントでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 監査: 無効化 1.0.0
Azure AI サービス リソース内のDiagnostic ログを有効にする必要があります Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 1.0.0
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.2.0
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.1.0
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 監査: 無効化 1.0.1
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 監査: 無効化 1.0.1
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 AuditIfNotExists、Disabled 1.1.0
関数アプリでリモート デバッグをオフにする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.1.0
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成してはならない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 2.1.0
Function App には HTTPS 経由でのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 監査、無効、拒否 5.1.0
関数アプリは FTPS のみを要求する必要がある セキュリティを強化するために FTPS の強制を有効にしてください。 AuditIfNotExists、Disabled 3.1.0
関数アプリはマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.1.0
Function アプリでは、最新の TLS バージョン セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.3.0
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 監査: 無効化 1.0.1
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 監査: 無効化 1.0.1
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 監査: 無効化 1.0.1
リソースに対する所有者アクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
リソースに対する読み取りアクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
リソースに対する書き込みアクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
ゲスト構成拡張機能をマシンにインストールする必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、"Windows Exploit guard を有効にする必要があります" などのゲスト内ポリシーが使用できるようになります。 詳細については、https://aka.ms/gcpolを参照してください。 AuditIfNotExists、Disabled 1.0.3
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
仮想マシン上の IP 転送を無効にする必要がある 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 AuditIfNotExists、Disabled 3.0.0
Key Vault キーには有効期限が設定されている必要があります 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 監査、拒否、無効化 1.0.2
Key Vault シークレットには有効期限が設定されている必要があります シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 監査、拒否、無効化 1.0.2
Key コンテナーで削除保護が有効になっている必要があります key vaultの悪意のある削除は、永続的なデータ損失につながる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 論理的な削除の保持期間中、組織内のユーザーやMicrosoftはキー コンテナーを消去できません。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 監査、拒否、無効化 2.1.0
Key コンテナーで論理的な削除が有効になっている必要があります 論理的な削除を有効にせずにkey vaultを削除すると、key vaultに格納されているすべてのシークレット、キー、および証明書が完全に削除されます。 key vaultを誤って削除すると、データが完全に失われる可能性があります。 ソフト削除を使用すると、構成可能な保持期間中であれば、誤って削除した Key Vault を回復できます。 監査、拒否、無効化 3.1.0
Kubernetes クラスター コンテナーの CPU とメモリ リソースの制限が、指定された制限を超えないようにする コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 9.3.0
Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください ポッド コンテナーが Kubernetes クラスター内のホスト プロセス ID 名前空間、ホスト IPC 名前空間、ホスト ネットワーク名前空間を共有できないようにします。 この推奨事項は、ホスト名前空間の Kubernetes ポッド セキュリティ標準に準拠しており、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.1、5.2.2、5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、拒否、無効化 6.0.0
Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要があります コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 6.2.1
Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある Kubernetes クラスター内のコンテナーの攻撃surfaceを減らす機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 6.2.0
Kubernetes クラスター コンテナーでは、許可されたイメージのみを使用する必要があります 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 9.3.0
Kubernetes クラスター コンテナーは、読み取り専用のルート ファイル システムで実行する必要があります Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 6.3.0
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されたホスト パスのみを使用する必要があります ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、有効な Kubernetes Azure Arc。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 6.3.0
Kubernetes クラスターポッドとコンテナーは、承認済みのユーザー ID とグループ ID でのみ実行する必要があります Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 6.2.0
Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある ポッドaccessをホスト ネットワークと Kubernetes クラスター内の許容されるホスト ポートに制限します。 この推奨事項は、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.4 の一部であり、hostPorts のポッド セキュリティ標準 (PSS) に準拠しています。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、拒否、無効化 7.0.0
Kubernetes クラスター サービスは、許可されたポートでのみリッスンする必要がある 許可されたポートでのみリッスンするようにサービスを制限して、Kubernetes クラスターにaccessをセキュリティで保護します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 8.2.0
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 9.2.0
Kubernetes クラスターには HTTPS 経由でのみアクセスできる必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 監査、拒否、無効化 9.0.0
Kubernetes クラスターでは、API 資格情報の自動マウントを無効にする必要があります 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 4.2.0
Kubernetes クラスターでは、コンテナー特権のエスカレーションを許可しないでください Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、拒否、無効化 8.0.0
Kubernetes クラスターでは、CAP_SYS_ADMINセキュリティ機能を付与しないでください コンテナーの攻撃surfaceを減らすには、Linux の機能CAP_SYS_ADMIN制限します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 5.1.0
Kubernetes クラスターでは既定の名前空間を使用しないでください Kubernetes クラスターで既定の名前空間を使用しないようにして、ConfigMap、Pod、Secret、Service、ServiceAccount のリソースの種類に対する未承認のaccessから保護します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 監査、監査、拒否、拒否、無効、無効 4.2.0
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpolを参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 AuditIfNotExists、Disabled 2.3.1
Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーでは、ポリシー割り当てスコープに 2 つの前提条件を展開する必要があります。 詳細については、https://aka.ms/gcpolを参照してください。 AuditIfNotExists、Disabled 1.2.1
不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 Windowsの AssessmentMode プロパティの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 監査、拒否、無効化 3.9.0
マシンではシークレットの検出結果が解決されている必要がある 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 AuditIfNotExists、Disabled 1.0.2
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワーク Just-In-Time (JIT) アクセスは、推奨事項としてAzure Security Centerによって監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 AuditIfNotExists、Disabled 3.0.0
Microsoft Defender CSPMを有効にする必要があります Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 AuditIfNotExists、Disabled 1.0.0
API のMicrosoft Defenderを有効にする必要があります API のMicrosoft Defenderにより、新しい検出、保護、検出、応答の対象範囲が提供され、一般的な API ベースの攻撃とセキュリティの構成ミスを監視できます。 AuditIfNotExists、Disabled 1.0.3
Microsoft Defender for Containers を有効にする必要があります Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for SQL は、保護されていない Synapse ワークスペースに対して有効にする必要があります SQL のDefenderを有効にして、Synapse ワークスペースを保護します。 sql 用のDefenderでは、Synapse SQL を監視して、データベースへのアクセスやデータベースの悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage を有効にする必要があります Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出します。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 ストレージの新しいDefenderプランには、マルウェア スキャンと機密データの脅威検出が含まれます。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 AuditIfNotExists、Disabled 1.0.0
MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 顧客管理のキーを使用して、MySQL サーバーの静止データの暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 AuditIfNotExists、Disabled 1.0.4
Network Watcherを有効にする必要があります Network Watcherは、ネットワーク シナリオ レベルで、Azureとの間で条件を監視および診断できるリージョン サービスです。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します 監査、拒否、無効化 1.0.0
PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 顧客管理キーを使用して、PostgreSQL サーバーのデータの保存時暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 AuditIfNotExists、Disabled 1.0.4
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続では、Azure SQL Databaseへのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 監査: 無効化 1.1.0
MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、プライベート エンドポイントからのみAzure SQL Databaseにアクセスできるようにすることで、セキュリティが向上します。 この構成では、IP または virtual network ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 監査、拒否、無効化 1.1.0
MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for MariaDBにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 監査、拒否、無効化 2.0.0
MySQL サーバーではパブリック ネットワーク accessを無効にする必要があります パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for MySQLにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 監査、拒否、無効化 2.0.0
PostgreSQL サーバーではパブリック ネットワーク accessを無効にする必要があります パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for PostgreSQLにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 監査、拒否、無効化 2.0.1
Azure Data Lake Store のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
ワークスペースのリソース ログAzure Databricks有効にする必要があります リソース ログを使用すると、セキュリティ インシデントが発生したときやネットワークが侵害されたときに、アクティビティ 証跡を再作成して調査目的で使用できます。 AuditIfNotExists、Disabled 1.0.1
Azure Kubernetes Serviceのリソース ログを有効にする必要があります Azure Kubernetes Serviceのリソース ログは、セキュリティ インシデントを調査するときにアクティビティ 証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします AuditIfNotExists、Disabled 1.0.0
ワークスペースのリソース ログAzure Machine Learning有効にする必要があります リソース ログを使用すると、セキュリティ インシデントが発生したときやネットワークが侵害されたときに、アクティビティ 証跡を再作成して調査目的で使用できます。 AuditIfNotExists、Disabled 1.0.1
Azure Stream Analyticsのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Batch アカウントのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Data Lake Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
イベント ハブのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
IoT Hubのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 3.1.0
Key Vaultのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Logic Apps のリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.1.0
Search サービスのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Service Busのリソース ログを有効にする必要があります リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Role-Based Access Control (RBAC) は、Kubernetes Services ユーザーが実行できるアクションをきめ細かくフィルター処理するには、Role-Based Access Control (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 監査: 無効化 1.1.0
ストレージ アカウントへの安全な転送を有効にする必要がある お使いのストレージ アカウントでの安全な転送の監査要件。 セキュリティで保護された転送は、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるようにstorage アカウントに強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します 監査、拒否、無効化 2.0.0
Service Fabric クラスターでは、ClusterProtectionLevel プロパティが EncryptAndSign サービス Fabricでは、プライマリ クラスター証明書を使用したノード間通信用の 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します 監査、拒否、無効化 1.1.0
Service Fabric クラスターでは、クライアント認証にのみAzure Active Directoryを使用する必要があります サービス FabricのAzure Active Directoryを介してのみクライアント認証の使用を監査する 監査、拒否、無効化 1.1.0
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.1.0
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 監査、拒否、無効化 2.0.0
SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration AuditIfNotExists、Disabled 1.0.0
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 AuditIfNotExists、Disabled 1.0.0
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自のキーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性と制御が向上し、HSM ベースの外部サービスによるセキュリティが強化され、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 監査、拒否、無効化 2.0.1
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査の目的で、ストレージ アカウントの宛先に対するSQL Serverの監査のデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0
ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するのに便利な方法ですが、セキュリティ 上のリスクが発生する可能性があります。 望ましくない匿名アクセスによって発生するデータ侵害を防ぐために、Microsoftは、シナリオで必要な場合を除き、ストレージ アカウントへのパブリック アクセスを防止することをお勧めします。 監査、監査、拒否、拒否、無効、無効 3.1.1
Storage アカウントは新しいAzure Resource Manager リソースに移行する必要があります ストレージ アカウントの新しいAzure Resource Managerを使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureセキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート 監査、拒否、無効化 1.0.0
ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 監査、拒否、無効化 2.0.0
ストレージ アカウントでは、共有キーへのアクセスを禁止する必要があります (Databricks によって作成されたストレージ アカウントを除く) ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 監査、拒否、無効化 1.0.0
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するには、特定のAzure仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲へのアクセスを許可できます。 監査、拒否、無効化 1.1.1
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 監査、拒否、無効化 1.0.1
ストレージ アカウントでは、仮想ネットワーク 規則を使用してネットワーク アクセスを制限する必要があります (Databricks によって作成されたストレージ アカウントを除く) IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 監査、拒否、無効化 1.0.0
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル storage アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 監査: 無効化 1.0.3
ストレージ アカウントではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 AuditIfNotExists、Disabled 2.0.0
ストレージ アカウントにはプライベート リンクを使用する必要があります (Databricks によって作成されたストレージ アカウントを除く) Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 AuditIfNotExists、Disabled 1.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1
Synapse ワークスペースでは、Microsoft Entra専用認証が有効になっている必要があります Synapse ワークスペースでMicrosoft Entra専用認証を使用する必要があります。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 監査、拒否、無効化 1.0.0
Synapse ワークスペースでは、ワークスペースの作成時に認証にMicrosoft Entra ID のみを使用する必要があります Microsoft Entra専用認証を使用して Synapse ワークスペースを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 監査、拒否、無効化 1.2.0
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 AuditIfNotExists、Disabled 1.0.1
複数の所有者がサブスクリプションに割り当てられている必要がある 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 AuditIfNotExists、Disabled 3.0.0
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbeを参照してください。 監査、拒否、無効化 1.0.0
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります 監査、拒否、無効化 1.0.0
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください AuditIfNotExists、Disabled 1.0.1
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 監査、無効、拒否 1.1.0
VPN ゲートウェイでは、ポイント対サイト ユーザーに対してAzure Active Directory (Azure AD) 認証のみを使用する必要があります ローカル認証方法を無効にすると、VPN ゲートウェイで認証にAzure Active Directory ID のみが使用されるようにすることで、セキュリティが向上します。 Azure AD 認証の詳細については、https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 監査、拒否、無効化 1.0.0
SQL Managed Instance で脆弱性評価を有効にする必要がある 脆弱性評価が適切に構成されていない各SQL Managed Instanceを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 1.1.0
脆弱性評価を SQL サーバー上で有効にする必要がある 脆弱性評価が適切に構成されていないAzure SQLサーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 3.0.0
Application Gateway で Web Application Firewall (WAF) を有効にする必要があります 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 監査、拒否、無効化 2.0.0
マシンで Windows Defender Exploit Guard を有効にする必要がある Windows Defender Exploit Guard は、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックし、企業がセキュリティ リスクと生産性の要件のバランスを取るために設計された 4 つのコンポーネントがあります (Windows のみ)。 AuditIfNotExists、Disabled 2.0.0
Windows マシンを安全な通信プロトコルを使うように構成する必要がある インターネット経由で通信される情報のプライバシーを保護するには、コンピューターで業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS は、マシン間の接続を暗号化することで、ネットワーク経由の通信をセキュリティで保護します。 AuditIfNotExists、Disabled 4.1.1
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpolを参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 AuditIfNotExists、Disabled 2.1.1
Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーでは、ポリシー割り当てスコープに 2 つの前提条件を展開する必要があります。 詳細については、https://aka.ms/gcpolを参照してください。 AuditIfNotExists、Disabled 1.1.1

Microsoft Defender for Cloud カテゴリ

Name
(Azure ポータル)
説明 Effect(s) Version
(GitHub)
[プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある Linux Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: ChangeTracking 拡張機能は、Windows Arc コンピューターにインストールする必要があります Windows Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ChangeTracking 拡張機能は、Windows仮想マシンにインストールする必要があります Windows仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: 仮想マシンで SQL エージェントのAzure Defenderを構成します Azure Monitor エージェントがインストールWindows SQL エージェントのAzure Defenderを自動的にインストールするようにマシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、無効 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する サポートされている Linux 仮想マシン スケール セットを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 6.1.0-preview
[プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、無効 5.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する サポートされている Linux 仮想マシンを構成してゲスト構成証明拡張機能を自動的にインストールし、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 7.1.0-preview
[プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 DeployIfNotExists、無効 2.0.0-preview
[プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成します ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成して、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 4.1.0-preview
[プレビュー]: セキュア ブートを自動的に有効にするようにサポートされているWindows仮想マシンを構成します セキュア ブートを自動的に有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減するように、サポートされているWindows仮想マシンを構成します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、無効 3.0.0-preview
[プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするようにサポートされているWindows仮想マシンを構成します ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシンを構成して、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 5.1.0-preview
[プレビュー]: Shared Image Gallery イメージで作成された VM を構成して、ゲスト構成証明拡張機能をインストールします Shared Image Gallery イメージで作成された仮想マシンを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 2.0.0-preview
[プレビュー]: Shared Image Gallery イメージで作成された VMSS を構成して、ゲスト構成証明拡張機能をインストールします Shared Image Gallery イメージで作成された VMSS を構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、無効 2.1.0-preview
[プレビュー]: Linux ハイブリッド マシンにMicrosoft Defender for Endpoint エージェントをデプロイします Linux ハイブリッド マシンMicrosoft Defender for Endpointエージェントをデプロイする DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: Linux 仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします 該当する Linux VM イメージMicrosoft Defender for Endpointエージェントをデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 3.0.0-preview
[プレビュー]: Windows Azure Arc マシンにMicrosoft Defender for Endpoint エージェントをデプロイします Windows Azure Arc マシンにMicrosoft Defender for Endpointをデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: Windows仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします 該当するWindows VM イメージにMicrosoft Defender for Endpointをデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 5.1.0-preview
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 AuditIfNotExists、Disabled 4.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 3.1.0-preview
[プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloudは、1 つ以上の Linux マシンで信頼されていない OS ブート コンポーネントを特定しました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある Azureの利用規約は、Microsoftサーバーまたはネットワークに損害を与えたり、無効にしたり、過剰に負担したり、損なったりする可能性のある方法でAzureサービスを使用することを禁止します。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある サポートされているWindows仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 監査: 無効化 4.0.0-preview
[プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 監査: 無効化 2.0.0-preview
サブスクリプションには最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 AuditIfNotExists、Disabled 3.0.0
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションが実行されているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 さらに、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0
仮想マシン に関連付けられているネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があります Azure Security Center では、ネットワーク セキュリティ グループの受信規則の一部があまりにも寛容であると検出しました。 受信規則では、'Any' または 'Internet' の範囲からのアクセスを許可しないでください。 これにより、攻撃者がリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
Azure API ManagementのAPI エンドポイントは認証する必要があります Azure API Management内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 これにより、攻撃者は実装上の欠陥を悪用し、データをaccessできます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists、Disabled 1.0.1
使用されていない API エンドポイントは無効にして、Azure API Management サービスから削除する必要があります セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスから非推奨とされているはずの API ですが、誤ってアクティブなままになっている可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 AuditIfNotExists、Disabled 1.0.1
システム割り当て ID を SQL Virtual Machines WINDOWS SQL 仮想マシンにシステム割り当て ID を大規模に割り当てます。 DeployIfNotExists、無効 1.0.0
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 監査: 無効化 2.0.1
Azure DDoS Protection を有効にする必要があります パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.1
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
Azure SQL Database サーバーのAzure Defenderを有効にする必要があります Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 AuditIfNotExists、Disabled 1.0.2
Key VaultのAzure Defenderを有効にする必要があります Key VaultのAzure Defenderは、通常とは異なる、有害な可能性のあるアカウントへのアクセスや悪用の試行を検出することで、保護とセキュリティ インテリジェンスkey vault追加のレイヤーを提供します。 AuditIfNotExists、Disabled 1.0.3
オープン ソース リレーショナル データベースのAzure Defenderを有効にする必要があります オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
Resource ManagerのAzure Defenderを有効にする必要があります Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバーのAzure Defenderを有効にする必要があります サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 AuditIfNotExists、Disabled 1.0.3
マシン上の SQL サーバーのAzure Defenderを有効にする必要があります Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for SQL は、保護されていない MySQL フレキシブル サーバーに対して有効にする必要があります Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
Azure Defender for SQL は、保護されていない PostgreSQL フレキシブル サーバーに対して有効にする必要があります Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
Azureレジストリ コンテナー イメージに脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 AuditIfNotExists、Disabled 1.0.1
Azure実行中のコンテナー イメージには、脆弱性 (Microsoft Defender 脆弱性の管理 を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 現在実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃surfaceを大幅に削減するための鍵となります。 AuditIfNotExists、Disabled 1.0.1
リソースに対する所有者アクセス許可を持つブロックされたアカウントAzure削除する必要があります 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントAzure削除する必要があります 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある Linux 仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 2.0.1
ChangeTracking 拡張機能は、Windows仮想マシン スケール セットにインストールする必要があります Windows仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイルの整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 AuditIfNotExists、Disabled 2.0.1
Cloud Services (延長サポート) ロール インスタンスを安全に構成する必要がある OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 AuditIfNotExists、Disabled 1.0.0
MySQL フレキシブル サーバーのデータベースで有効にする構成高度な脅威保護 Azureします MySQL フレキシブル サーバーの Azure データベースで高度な脅威保護を有効にして、データベースへのアクセスまたは悪用を試みる異常で有害な可能性のある試行を示す異常なアクティビティを検出します。 DeployIfNotExists、無効 1.0.0
PostgreSQL フレキシブル サーバー Azureデータベースで構成高度な脅威保護を有効にする PostgreSQL フレキシブル サーバー用の Azure データベースで高度な脅威保護を有効にして、データベースへのアクセスまたは悪用を試みる異常で有害な可能性のある試行を示す異常なアクティビティを検出します。 DeployIfNotExists、無効 1.1.0
エージェントを自動的にインストールするための Arc 対応 SQL Server の構成Azure Monitor Windows Arc 対応 SQL Server での Azure Monitor Agent 拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、無効 1.3.0
Microsoft Defender for SQL を自動的にインストールするように Arc 対応 SQL Server を構成する arc 対応 SQL Server Windows構成して、SQL エージェントのMicrosoft Defenderを自動的にインストールします。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 DeployIfNotExists、無効 1.2.0
Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 DeployIfNotExists、無効 1.6.0
ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 DeployIfNotExists、無効 1.8.0
Microsoft Defender for SQL DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する Arc 対応 SQL Server と SQL DCR のMicrosoft Defenderの間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 DeployIfNotExists、無効 1.1.0
Microsoft Defender for SQL ユーザー定義 DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する Arc 対応 SQL Server と SQL ユーザー定義 DCR のMicrosoft Defender間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 DeployIfNotExists、無効 1.3.0
Azure Defender for App Service を構成して有効にする Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 DeployIfNotExists、無効 1.0.1
Azure Defender for Azure SQL Database を構成して有効にする Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 DeployIfNotExists、無効 1.0.1
オープンソース リレーショナル データベースの構成Azure Defenderを有効にする オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、無効 1.0.0
有効にするResource Managerの構成Azure Defender Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、無効 1.1.0
サーバーを有効にする構成Azure Defender サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 DeployIfNotExists、無効 1.0.1
マシン上の SQL サーバーのAzure Defenderを有効にする構成 Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 DeployIfNotExists、無効 1.0.1
ストレージを有効にする基本的なMicrosoft Defenderを構成する (アクティビティ監視のみ) Microsoft Defender for Storage は、ストレージ アカウントに対する Azure ネイティブの脅威検出を提供します。 このポリシーにより、基本的な機能 (アクティビティの監視) が有効になります。 マルウェア スキャンや機密データの検出など、完全な保護を行うには、aka.ms/DFStoragePolicy を使用します。 メジャー バージョンの更新: PerTransaction は、2025 年 2 月 5 日以降、新しい有効化ではサポートされなくなりました。 それを使用する既存のアカウントは引き続きサポートされます。 詳細情報: aka.ms/DF-Storage/NewPlanMigration。 DeployIfNotExists、無効 2.0.0
Linux Arc マシン用に ChangeTracking 拡張機能を構成する Azure Security Centerでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.1.0
Linux 仮想マシン スケール セットの ChangeTracking 拡張機能を構成する Azure Security Centerでファイルの整合性の監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.1.0
Linux 仮想マシンの ChangeTracking 拡張機能を構成する Azure Security Centerでファイルの整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.2.0
Windows Arc マシン用の ChangeTracking 拡張機能の構成 Windows Arc マシンを構成して ChangeTracking 拡張機能を自動的にインストールし、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.1.0
仮想マシン スケール セットの ChangeTracking 拡張機能Windows構成します ChangeTracking 拡張機能Windows自動的にインストールされるように仮想マシン スケール セットを構成し、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.1.0
Windows 仮想マシン用の ChangeTracking 拡張機能の構成 Windowsでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように仮想マシンを構成Azure Security Center。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 DeployIfNotExists、無効 2.2.0
脆弱性評価プロバイダーを受け取るようにマシンを構成する Azure Defenderには、追加料金なしでコンピューターの脆弱性スキャンが含まれます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defenderによって Qualys 脆弱性評価プロバイダーが、まだインストールされていないサポートされているすべてのマシンに自動的に展開されます。 DeployIfNotExists、無効 4.0.0
Microsoft Defender CSPM プランの構成 Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 DeployIfNotExists、無効 1.0.0
有効にする Microsoft Defender CSPMを構成する Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 DeployIfNotExists、無効 1.0.2
Microsoft Defender for Azure Cosmos DB を有効に構成する Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出する、Azureネイティブのセキュリティ層です。 Azure Cosmos DBのDefenderは、潜在的な SQL インジェクション、Microsoft脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、および侵害された ID または悪意のある内部関係者によるデータベースの潜在的な悪用を検出します。 DeployIfNotExists、無効 1.0.0
コンテナーの構成Microsoft Defenderプラン Defender for Containers プランには新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 DeployIfNotExists、無効 1.6.0
Microsoft Defender for Containers を有効にするように構成する Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 DeployIfNotExists、無効 1.0.1
Microsoft Defender for Cloud との統合設定Microsoft Defender for Endpoint構成 (WDATP_EXCLUDE_LINUX...) Linux サーバーの MDE の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX_...とも呼ばれます) 内で、Microsoft Defender for Endpoint統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 DeployIfNotExists、無効 1.0.0
Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) Windows Server 2012R2 および 2016 の MDE Unified Agent の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION とも呼ばれます) 内でMicrosoft Defender for Endpoint統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 DeployIfNotExists、無効 1.0.0
Microsoft Defender for Cloud (WDATP) MMA を介して MDE にオンボードされたWindowsダウンレベル マシンのMicrosoft Defender for Cloud (WDATP とも呼ばれます) 内で、Microsoft Defender for Endpoint統合設定を構成し、Windows Server 2019 での MDE の自動プロビジョニングを行います。Virtual Desktop 以降をWindowsします。 他の設定 (WDATP_UNIFIED など) を動作させるには、有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 DeployIfNotExists、無効 1.0.0
Key Vault プランの構成Microsoft Defender Key Vault用のMicrosoft Defenderは、通常とは異なる、害を及ぼす可能性のあるkey vaultアカウントへのアクセスまたは悪用の試行を検出することで、保護とセキュリティ インテリジェンスの追加レイヤーを提供します。 DeployIfNotExists、無効 1.1.0
サーバーの構成Microsoft Defenderプラン Defender for Servers には新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 DeployIfNotExists、無効 1.0.0
サーバーの構成Microsoft Defenderプラン (P1 または P2) 選択したサーバー サブプラン (P1 または P2) のMicrosoft Defenderがサブスクリプション レベルで有効になっていることを確認します。 このポリシーは、パラメーターによる動的選択をサポートし、まだ構成されていない場合はデプロイを強制します。 DeployIfNotExists、無効 1.1.0
Synapse ワークスペースで SQL を有効にする構成Microsoft Defender Azure Synapse ワークスペースで SQL のMicrosoft Defenderを有効にして、SQL データベースへのアクセスまたは悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 DeployIfNotExists、無効 1.0.0
ストレージの構成Microsoft Defenderを有効にする Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーにより、ストレージ機能のすべてのDefenderが有効になります。アクティビティの監視、マルウェア スキャン、機密データの脅威検出。 ストレージの機能と利点のDefenderの詳細については、aka.ms/DefenderForStorage を参照してください。 DeployIfNotExists、無効 1.5.0
AI サービスの Microsoft Defender 脅威保護を構成する AI サービスの脅威保護に新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 DeployIfNotExists、無効 1.1.0
Azure Monitor エージェントを自動的にインストールするための SQL Virtual Machinesの構成 Windows SQL Virtual MachinesでのAzure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、無効 1.6.0
SQL Virtual Machinesを構成して、sql SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 DeployIfNotExists、無効 1.6.0
Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように SQL Virtual Machines を構成する sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 DeployIfNotExists、無効 1.9.0
ユーザー定義の LA ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 DeployIfNotExists、無効 1.10.0
SQL 拡張機能のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 DeployIfNotExists、無効 1.0.0
Microsoft Defender for SQL Log Analytics ワークスペースを構成する sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 DeployIfNotExists、無効 1.5.0
組み込みのユーザー割り当てマネージド ID を作成して割り当てる 組み込みのユーザー割り当てマネージド ID の作成と SQL 仮想マシンへの割り当てを大規模に行います。 AuditIfNotExists、DeployIfNotExists、Disabled 1.8.0
Deploy - Azure Security Center アラートの抑制ルールを構成します Azure Security Centerアラートを抑制し、管理グループまたはサブスクリプションに抑制ルールをデプロイすることでアラートの疲労を軽減します。 deployIfNotExists 1.0.0
Microsoft Defender for Cloud データの信頼されたサービスとして Event Hub にエクスポートをデプロイします Microsoft Defender for Cloud データの信頼できるサービスとして Event Hub へのエクスポートを有効にします。 このポリシーを使用すると、信頼されているサービスとしてのイベント ハブへのエクスポート構成がデプロイされ、条件と対象イベント ハブは割り当てられたスコープに設定されます。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 DeployIfNotExists、無効 1.0.0
Microsoft Defender for Cloud データの Event Hub へのエクスポートをデプロイします Microsoft Defender for Cloud データの Event Hub へのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.2.0
データをMicrosoft Defender for CloudするためにLog Analyticsワークスペースにエクスポートをデプロイします Microsoft Defender for Cloud データのワークスペースLog Analyticsエクスポートを有効にします。 このポリシーでは、割り当てられたスコープの条件とターゲット ワークスペースを使用して、Log Analyticsワークスペース構成にエクスポートを展開します。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.1.0
クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する Microsoft Defender for Cloudアラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.1
クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ Microsoft Defender for Cloud推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.1
規制コンプライアンスをMicrosoft Defender for Cloudするためのワークフロー自動化のデプロイ Microsoft Defender for Cloud規制コンプライアンスの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.1
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.2.0
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.1.0
サブスクリプションでMicrosoft Defender for Cloudを有効にする Microsoft Defender for Cloudによって監視されていない既存のサブスクリプションを識別し、Defender for Cloudの無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 1.0.1
カスタム ワークスペースを使用してサブスクリプションに対するLog Analytics エージェントの自動プロビジョニングを行います Security Center でサブスクリプションにLog Analytics エージェントを自動プロビジョニングして、カスタム ワークスペースを使用してセキュリティ データを監視および収集できるようにします。 DeployIfNotExists、無効 1.0.0
既定の workspace. Security Center でサブスクリプションにLog Analytics エージェントを自動プロビジョニングして、ASC の既定のワークスペースを使用してセキュリティ データを監視および収集できるようにします。 DeployIfNotExists、無効 1.0.0
AI ワークロードへの脅威に対する保護を有効にする AI ワークロードに対する脅威保護Microsoft、自宅で成長した Generative AI を利用したアプリケーションの保護を目的とした、コンテキスト化された証拠ベースのセキュリティ アラートを提供します DeployIfNotExists、無効 1.0.0
リソースに対する所有者アクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
リソースに対する読み取りアクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
リソースに対する書き込みアクセス許可を持つGuest アカウントAzure削除する必要があります 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
ゲスト構成拡張機能をマシンにインストールする必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、"Windows Exploit guard を有効にする必要があります" などのゲスト内ポリシーが使用できるようになります。 詳細については、https://aka.ms/gcpolを参照してください。 AuditIfNotExists、Disabled 1.0.3
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
仮想マシン上の IP 転送を無効にする必要がある 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています 監査: 無効化 1.0.2
Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 AuditIfNotExists、Disabled 2.0.0
マシンではシークレットの検出結果が解決されている必要がある 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 AuditIfNotExists、Disabled 1.0.2
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワーク Just-In-Time (JIT) アクセスは、推奨事項としてAzure Security Centerによって監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 AuditIfNotExists、Disabled 3.0.0
Microsoft Defender CSPMを有効にする必要があります Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 AuditIfNotExists、Disabled 1.0.0
AI サービス用 Microsoft Defenderを有効にする必要があります サブスクリプションでAI サービス用 Microsoft Defenderが有効になっているかどうかを確認するための監査。 AuditIfNotExists、Disabled 1.0.0
API のMicrosoft Defenderを有効にする必要があります API のMicrosoft Defenderにより、新しい検出、保護、検出、応答の対象範囲が提供され、一般的な API ベースの攻撃とセキュリティの構成ミスを監視できます。 AuditIfNotExists、Disabled 1.0.3
Azure Cosmos DBのMicrosoft Defenderを有効にする必要があります Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出する、Azureネイティブのセキュリティ層です。 Azure Cosmos DBのDefenderは、潜在的な SQL インジェクション、Microsoft脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、および侵害された ID または悪意のある内部関係者によるデータベースの潜在的な悪用を検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Containers を有効にする必要があります Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for SQL は、保護されていない Synapse ワークスペースに対して有効にする必要があります SQL のDefenderを有効にして、Synapse ワークスペースを保護します。 sql 用のDefenderでは、Synapse SQL を監視して、データベースへのアクセスやデータベースの悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage を有効にする必要があります Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出します。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 ストレージの新しいDefenderプランには、マルウェア スキャンと機密データの脅威検出が含まれます。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 AuditIfNotExists、Disabled 1.0.0
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
Role-Based Access Control (RBAC) は、Kubernetes Services ユーザーが実行できるアクションをきめ細かくフィルター処理するには、Role-Based Access Control (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 監査: 無効化 1.1.0
Security Center の Standard 価格レベルを選択する必要がある Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、脅威インテリジェンス、異常検出、および動作分析がAzure Security Center 監査: 無効化 1.1.0
代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する クラウドのMicrosoft Defenderは、追加料金なしでマシンの脆弱性スキャンを提供します。 このポリシーを有効にすると、Defender for Cloudによって、組み込みのMicrosoft Defender脆弱性管理ソリューションからの結果が、サポートされているすべてのマシンに自動的に反映されます。 DeployIfNotExists、無効 1.0.0-preview
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.1.0
SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration AuditIfNotExists、Disabled 1.0.0
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 AuditIfNotExists、Disabled 1.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 AuditIfNotExists、Disabled 1.0.1
複数の所有者がサブスクリプションに割り当てられている必要がある 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 AuditIfNotExists、Disabled 3.0.0
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください AuditIfNotExists、Disabled 1.0.1

次のステップ

この記事では、Defender for Cloudのセキュリティ ポリシー定義Azure Policyについて説明しました。 イニシアチブ、ポリシー、およびDefender for Cloudの推奨事項との関連の詳細については、「セキュリティ ポリシー、イニシアティブ、および推奨事項とは何ですか?を参照してください。