Auf dieser Seite werden die Erkennungsrichtlinien beschrieben, die in Version 1.0 der vordefinierten Sicherheitsvorlage für Benchmarks der Google Cloud Computing Platform Version 2.0.0 des Center for Internet Security (CIS) enthalten sind. Mit diesem vordefinierten Sicherheitsstatus können Sie leichter erkennen, wenn Ihre Google Cloud-Umgebung nicht mit der CIS-Benchmark übereinstimmt.
Sie können diese Sicherheitsvorlage bereitstellen, ohne Änderungen vorzunehmen.
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der Posture-Vorlage enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse von Sicherheitslücken.
Detektorname | Beschreibung |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Dieser Detektor prüft, ob Access Transparency deaktiviert ist. |
ADMIN_SERVICE_ACCOUNT |
Dieser Detektor prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Dieser Detektor prüft, ob es mindestens einen wichtigen Kontakt gibt. |
API_KEY_APIS_UNRESTRICTED |
Dieser Detektor prüft, ob API-Schlüssel zu allgemein verwendet werden. |
API_KEY_EXISTS |
Dieser Detektor prüft, ob für ein Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden. |
API_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde. |
AUDIT_CONFIG_NOT_MONITORED |
Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist. |
AUTO_BACKUP_DISABLED |
Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind. |
BIGQUERY_TABLE_CMEK_DISABLED |
Dieser Detektor prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Datasets. |
BUCKET_IAM_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für IAM-Berechtigungsänderungen in Cloud Storage deaktiviert ist. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist. |
CLOUD_ASSET_API_DISABLED |
Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden. |
COMPUTE_SERIAL_PORTS_ENABLED |
Dieser Detektor prüft, ob serielle Ports aktiviert sind. |
CONFIDENTIAL_COMPUTING_DISABLED |
Dieser Detektor prüft, ob Confidential Computing deaktiviert ist. |
CUSTOM_ROLE_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Änderungen an benutzerdefinierten Rollen deaktiviert ist. |
DATAPROC_CMEK_DISABLED |
Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist. |
DATASET_CMEK_DISABLED |
Dieser Detektor prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist. |
DEFAULT_NETWORK |
Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist. |
DEFAULT_SERVICE_ACCOUNT_USED |
Dieser Detektor prüft, ob das Standarddienstkonto verwendet wird. |
DISK_CSEK_DISABLED |
Dieser Detektor prüft, ob die Unterstützung des vom Kunden bereitgestellten Verschlüsselungsschlüssels (CSEK) für eine VM deaktiviert ist. |
DNS_LOGGING_DISABLED |
Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist. |
DNSSEC_DISABLED |
Dieser Detektor prüft, ob DNSSEC für Cloud DNS-Zonen deaktiviert ist. |
FIREWALL_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Dieser Detektor prüft, ob VPC-Flusslogs aktiviert sind. |
FULL_API_ACCESS |
Dieser Detektor prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. |
INSTANCE_OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login nicht aktiviert ist. |
IP_FORWARDING_ENABLED |
Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
KMS_PROJECT_HAS_OWNER |
Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt hat, das Schlüssel enthält. |
KMS_PUBLIC_KEY |
Dieser Detektor prüft, ob ein kryptografischer Schlüssel des Cloud Key Management Service öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse von KMS-Sicherheitslücken. |
KMS_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabentrennung für Cloud KMS-Schlüssel. |
LEGACY_NETWORK |
Dieser Detektor prüft, ob in einem Projekt ein Legacy-Netzwerk vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
LOAD_BALANCER_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging für den Load-Balancer deaktiviert ist. |
LOG_NOT_EXPORTED |
Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist. |
MFA_NOT_ENFORCED |
Dieser Detektor prüft, ob ein Nutzer nicht die Bestätigung in zwei Schritten verwendet. |
NETWORK_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind. |
NON_ORG_IAM_MEMBER |
Dieser Detektor prüft, ob ein Nutzer keine Anmeldedaten für die Organisation verwendet. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat. |
OPEN_SSH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SSH-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login deaktiviert ist. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
OWNER_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Zuweisungen und Änderungen von Projektinhaberschaften deaktiviert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Datasets. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat. |
PUBLIC_SQL_INSTANCE |
Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind. |
RSASHA1_FOR_SIGNING |
Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignatur in Cloud DNS-Zonen verwendet wird. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob ein Dienstkontoschlüssel in den letzten 90 Tagen rotiert wurde. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabentrennung für Dienstkontoschlüssel. |
SHIELDED_VM_DISABLED |
Dieser Detektor prüft, ob Shielded VM deaktiviert ist. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Dieser Detektor prüft, ob das Flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Dieser Detektor prüft, ob das Flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Dieser Detektor prüft, ob das Flag |
SQL_INSTANCE_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Cloud SQL-Konfigurationsänderungen deaktiviert ist. |
SQL_LOCAL_INFILE |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_CONNECTIONS_DISABLED |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_ERROR_VERBOSITY |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_MESSAGES |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_STATEMENT |
Dieser Detektor prüft, ob das Flag |
SQL_NO_ROOT_PASSWORD |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbank mit einer externen IP-Adresse kein Passwort für das Root-Konto hat. |
SQL_PUBLIC_IP |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat. |
SQL_REMOTE_ACCESS_ENABLED |
Dieser Detektor prüft, ob das Flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Dieser Detektor prüft, ob das Flag |
SQL_TRACE_FLAG_3625 |
Dieser Detektor prüft, ob das Flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Dieser Detektor prüft, ob das Flag |
SQL_USER_OPTIONS_CONFIGURED |
Dieser Detektor prüft, ob das Flag |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Dieser Detektor prüft, ob ein Nutzer einen Dienstkontoschlüssel verwaltet. |
WEAK_SSL_POLICY |
Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat. |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für die Sicherheitsvorlage für CIS 2.0.
name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
description: CIS_2_0 SHA modules that new customers can automatically enable.
policies:
- policy_id: Access transparency disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ACCESS_TRANSPARENCY_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: API key APPs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APPS_UNRESTRICTED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Compute project wide SSH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: Compute serial port enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Service account key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Shielded VM disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SHIELDED_VM_DISABLED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: SQL instnance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: SQL user connection configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: User managed service account key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY