Template postur yang telah ditentukan sebelumnya untuk CIS Benchmark v2.0

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur yang telah ditentukan sebelumnya untuk Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Postur yang telah ditentukan ini membantu Anda mendeteksi saat lingkungan Google Cloud Anda tidak selaras dengan CIS Benchmark.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
ACCESS_TRANSPARENCY_DISABLED

Pendeteksi ini memeriksa apakah Transparansi Akses dinonaktifkan.

ADMIN_SERVICE_ACCOUNT

Pendeteksi ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Pendeteksi ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.

API_KEY_APIS_UNRESTRICTED

Pendeteksi ini memeriksa apakah kunci API digunakan terlalu luas.

API_KEY_EXISTS

Pendeteksi ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.

API_KEY_NOT_ROTATED

Pendeteksi ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.

AUDIT_CONFIG_NOT_MONITORED

Pendeteksi ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.

AUDIT_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource.

AUTO_BACKUP_DISABLED

Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.

BIGQUERY_TABLE_CMEK_DISABLED

Pendeteksi ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

BUCKET_IAM_NOT_MONITORED Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.
BUCKET_POLICY_ONLY_DISABLED

Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

CLOUD_ASSET_API_DISABLED

Pendeteksi ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.

COMPUTE_SERIAL_PORTS_ENABLED

Pendeteksi ini memeriksa apakah port serial diaktifkan.

CONFIDENTIAL_COMPUTING_DISABLED

Pendeteksi ini memeriksa apakah Confidential Computing dinonaktifkan.

CUSTOM_ROLE_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan peran khusus.

DATAPROC_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.

DATASET_CMEK_DISABLED

Pendeteksi ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.

DEFAULT_NETWORK

Pendeteksi ini memeriksa apakah jaringan default ada dalam project.

DEFAULT_SERVICE_ACCOUNT_USED

Pendeteksi ini memeriksa apakah akun layanan default digunakan.

DISK_CSEK_DISABLED

Pendeteksi ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.

DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.

DNSSEC_DISABLED

Detektor ini memeriksa apakah DNSSEC dinonaktifkan untuk zona Cloud DNS.

FIREWALL_NOT_MONITORED

Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Pendeteksi ini memeriksa apakah Log Aliran VPC tidak diaktifkan.

FULL_API_ACCESS

Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

INSTANCE_OS_LOGIN_DISABLED

Pendeteksi ini memeriksa apakah Login OS tidak diaktifkan.

IP_FORWARDING_ENABLED

Pendeteksi ini memeriksa apakah penerusan IP diaktifkan atau tidak.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

KMS_PROJECT_HAS_OWNER

Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

KMS_PUBLIC_KEY

Pendeteksi ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

KMS_ROLE_SEPARATION

Detektor ini memeriksa pemisahan tugas untuk kunci Cloud KMS.

LEGACY_NETWORK

Detektor ini memeriksa apakah jaringan lama ada dalam project.

LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log.

LOAD_BALANCER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.

LOG_NOT_EXPORTED

Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.

MFA_NOT_ENFORCED

Pendeteksi ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah.

NETWORK_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

NON_ORG_IAM_MEMBER

Pendeteksi ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi.

OPEN_RDP_PORT

Detektor ini memeriksa apakah firewall memiliki port RDP terbuka atau tidak.

OPEN_SSH_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port SSH terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OS_LOGIN_DISABLED

Pendeteksi ini memeriksa apakah Login OS dinonaktifkan.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu.

OWNER_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.

PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.

PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

PUBLIC_IP_ADDRESS

Pendeteksi ini memeriksa apakah instance memiliki alamat IP eksternal atau tidak.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

ROUTE_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

RSASHA1_FOR_SIGNING

Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Pendeteksi ini memeriksa apakah kunci akun layanan telah dirotasi dalam 90 hari terakhir.

SERVICE_ACCOUNT_ROLE_SEPARATION

Pendeteksi ini memeriksa pemisahan tugas untuk kunci akun layanan.

SHIELDED_VM_DISABLED

Pendeteksi ini memeriksa apakah Shielded VM dinonaktifkan.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Detektor ini memeriksa apakah flag contained database authentication di Cloud SQL untuk SQL Server tidak nonaktif.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Detektor ini memeriksa apakah flag cross_db_ownership_chaining di Cloud SQL untuk SQL Server tidak nonaktif.

SQL_EXTERNAL_SCRIPTS_ENABLED

Detektor ini memeriksa apakah flag external scripts enabled di Cloud SQL untuk SQL Server tidak nonaktif.

SQL_INSTANCE_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.

SQL_LOCAL_INFILE

Detektor ini memeriksa apakah flag local_infile di Cloud SQL untuk MySQL aktif.

SQL_LOG_CONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_connections di Cloud SQL untuk PostgreSQL tidak aktif.

SQL_LOG_DISCONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_disconnections di Cloud SQL untuk PostgreSQL tidak aktif.

SQL_LOG_ERROR_VERBOSITY

Detektor ini memeriksa apakah flag log_error_verbosity di Cloud SQL untuk PostgreSQL tidak ditetapkan ke default.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Detektor ini memeriksa apakah flag log_min_duration_statement di Cloud SQL untuk PostgreSQL tidak ditetapkan ke -1.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Detektor ini memeriksa apakah flag log_min_error_statement di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

SQL_LOG_MIN_MESSAGES

Detektor ini memeriksa apakah flag log_min_messages di Cloud SQL untuk PostgreSQL tidak ditetapkan ke warning.

SQL_LOG_STATEMENT

Detektor ini memeriksa apakah tanda log_statement di Cloud SQL untuk PostgreSQL Server tidak ditetapkan ke ddl.

SQL_NO_ROOT_PASSWORD

Pendeteksi ini memeriksa apakah database Cloud SQL dengan alamat IP eksternal tidak memiliki sandi untuk akun root.

SQL_PUBLIC_IP

Pendeteksi ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal atau tidak.

SQL_REMOTE_ACCESS_ENABLED

Detektor ini memeriksa apakah flag remote_access di Cloud SQL untuk SQL Server tidak nonaktif.

SQL_SKIP_SHOW_DATABASE_DISABLED

Detektor ini memeriksa apakah flag skip_show_database di Cloud SQL untuk MySQL tidak aktif.

SQL_TRACE_FLAG_3625

Detektor ini memeriksa apakah flag 3625 (trace flag) di Cloud SQL untuk SQL Server tidak aktif.

SQL_USER_CONNECTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user connections di Cloud SQL untuk SQL Server dikonfigurasi.

SQL_USER_OPTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user options di Cloud SQL untuk SQL Server dikonfigurasi.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Pendeteksi ini memeriksa apakah pengguna mengelola kunci akun layanan.

WEAK_SSL_POLICY

Pendeteksi ini memeriksa apakah instance memiliki kebijakan SSL yang lemah.

Definisi YAML

Berikut adalah definisi YAML untuk template postur untuk CIS 2.0.

name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
  description: CIS_2_0 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Access transparency disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ACCESS_TRANSPARENCY_DISABLED
  - policy_id: Admin service account
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ADMIN_SERVICE_ACCOUNT
  - policy_id: Essential contacts not configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
  - policy_id: API key APIs unrestricted
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_APIS_UNRESTRICTED
  - policy_id: API key APPs unrestricted
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_APPS_UNRESTRICTED
  - policy_id: API key exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS
  - policy_id: API key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_NOT_ROTATED
  - policy_id: Audit config not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_CONFIG_NOT_MONITORED
  - policy_id: Audit logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_LOGGING_DISABLED
  - policy_id: Auto backup disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUTO_BACKUP_DISABLED
  - policy_id: BigQuery table CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BIGQUERY_TABLE_CMEK_DISABLED
  - policy_id: Bucket IAM not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_IAM_NOT_MONITORED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Cloud asset API disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLOUD_ASSET_API_DISABLED
  - policy_id: Compute project wide SSH keys allowed
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
  - policy_id: Compute serial port enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_SERIAL_PORTS_ENABLED
  - policy_id: Confidential computing disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CONFIDENTIAL_COMPUTING_DISABLED
  - policy_id: Custom role not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CUSTOM_ROLE_NOT_MONITORED
  - policy_id: Dataproc CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATAPROC_CMEK_DISABLED
  - policy_id: Dataset CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATASET_CMEK_DISABLED
  - policy_id: Default network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_NETWORK
  - policy_id: Default service account used
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_SERVICE_ACCOUNT_USED
  - policy_id: Disk CSEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DISK_CSEK_DISABLED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: DNSSEC disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNSSEC_DISABLED
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: VPC flow logs settings not recommended
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
  - policy_id: Full API access
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FULL_API_ACCESS
  - policy_id: Instance OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: INSTANCE_OS_LOGIN_DISABLED
  - policy_id: IP forwarding enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: IP_FORWARDING_ENABLED
  - policy_id: KMS key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_KEY_NOT_ROTATED
  - policy_id: KMS project has owner
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PROJECT_HAS_OWNER
  - policy_id: KMS public key
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PUBLIC_KEY
  - policy_id: KMS role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_ROLE_SEPARATION
  - policy_id: Legacy network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LEGACY_NETWORK
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Load balancer logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOAD_BALANCER_LOGGING_DISABLED
  - policy_id: Log not exported
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOG_NOT_EXPORTED
  - policy_id: MFA not enforced
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: MFA_NOT_ENFORCED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Non org IAM member
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NON_ORG_IAM_MEMBER
  - policy_id: Open RDP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_RDP_PORT
  - policy_id: Open SSH port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_SSH_PORT
  - policy_id: OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OS_LOGIN_DISABLED
  - policy_id: Over privileged service account user
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
  - policy_id: Owner not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OWNER_NOT_MONITORED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public dataset
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_DATASET
  - policy_id: Public IP address
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_IP_ADDRESS
  - policy_id: Public SQL instance
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_SQL_INSTANCE
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: RSASHA1 for signing
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: RSASHA1_FOR_SIGNING
  - policy_id: Service account key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
  - policy_id: Service account role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
  - policy_id: Shielded VM disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SHIELDED_VM_DISABLED
  - policy_id: SQL contained database authentication
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
  - policy_id: SQL cross DB ownership chaining
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
  - policy_id: SQL external scripts enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
  - policy_id: SQL instnance not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_INSTANCE_NOT_MONITORED
  - policy_id: SQL local infile
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOCAL_INFILE
  - policy_id: SQL log connections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_CONNECTIONS_DISABLED
  - policy_id: SQL log disconnections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
  - policy_id: SQL log error verbosity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_ERROR_VERBOSITY
  - policy_id: SQL log min duration statement enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
  - policy_id: SQL log min error statement severity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
  - policy_id: SQL log min messages
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_MESSAGES
  - policy_id: SQL log statement
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_STATEMENT
  - policy_id: SQL no root password
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_NO_ROOT_PASSWORD
  - policy_id: SQL public IP
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_PUBLIC_IP
  - policy_id: SQL remote access enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_REMOTE_ACCESS_ENABLED
  - policy_id: SQL skip show database disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
  - policy_id: SQL trace flag 3625
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_TRACE_FLAG_3625
  - policy_id: SQL user connection configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_CONNECTIONS_CONFIGURED
  - policy_id: SQL user options configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_OPTIONS_CONFIGURED
  - policy_id: User managed service account key
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
  - policy_id: Weak SSL policy
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: WEAK_SSL_POLICY

Langkah selanjutnya