Ensure that Microsoft Cloud Security Benchmark policies are not set to 'Disabled'
Чому це важливо
Коли політику Microsoft Cloud Security Benchmark встановлено в стан Disabled, Azure повністю припиняє оцінювати цю конкретну рекомендацію з безпеки у вашому середовищі. Це створює сліпі зони у вашій безпековій позиції: ви не отримуватимете сповіщення або інформацію про відповідність щодо неправильних налаштувань, які виявила б ця вимкнена політика. З часом кілька вимкнених політик можуть залишити значні прогалини в безпеці невирішеними, що підвищує рівень ризику для вашої організації.
Що перевіряє Aether365
Aether365 перевіряє, чи всі політики в ініціативі Microsoft Cloud Security Benchmark встановлено в стан Audit або інший невимкнений тип ефекту. Ця перевірка відображається на панелі керування Aether365 у розділі перевірок Azure Defender for Cloud.
Як виправити
- Увійдіть в Azure portal.
- Перейдіть до Azure Policy, а потім виберіть Assignments з лівого меню.
- Знайдіть призначення для ініціативи Microsoft Cloud Security Benchmark (MCSB). Воно зазвичай має назву на кшталт "Microsoft Cloud Security Benchmark" і призначене на рівні підписки.
- Натисніть на три крапки (...) у рядку призначення та виберіть Edit assignment.
- Виберіть вкладку Parameters.
- Перегляньте список окремих параметрів політик. Кожен параметр ефекту політики має бути встановлено в Audit або AuditIfNotExists, а не Disabled.
- Для будь-якого параметра політики, встановленого в Disabled, змініть його на значення Audit за замовчуванням.
- Натисніть Review + create, а потім — Create, щоб зберегти оновлене призначення.
- (Необов'язково) Повторіть кроки 3-8 для будь-яких інших призначень MCSB на рівні групи керування або групи ресурсів.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 3.1.11 (Level 1)
Пов'язані ресурси
- Документація Microsoft Cloud Security Benchmark
- REST API для призначень Azure Policy
- Створення призначень політик через REST API
- Підручник: Створення політик безпеки та керування ними в Azure Security Center