Předdefinované zásady pro Azure Monitor

Zásady a iniciativy zásad poskytují jednoduchou metodu, jak povolit protokolování ve velkém prostřednictvím nastavení diagnostiky pro Azure Monitor. Pomocí iniciativy zásad můžete zapnout protokolování auditu pro všechny podporované prostředky v prostředí Azure.

Povolte protokoly prostředků ke sledování aktivit a událostí, ke kterým dochází na vašich prostředcích, a poskytne vám přehled o všech změnách, ke kterým dojde. Přiřaďte zásady pro povolení protokolů prostředků a jejich odesílání do cílů podle vašich potřeb. Odesílat protokoly do center událostí pro systémy SIEM třetích stran, které umožňují nepřetržité operace zabezpečení. Odesílat protokoly do účtů úložiště za účelem dlouhodobějšího ukládání nebo splnění dodržování právních předpisů.

Existuje sada předdefinovaných zásad a iniciativ, které směrují protokoly prostředků do pracovních prostorů služby Log Analytics, služby Event Hubs a účtů úložiště. Zásady umožňují protokolování auditu a odesílají protokoly patřící do skupiny kategorií protokolů auditu do centra událostí, pracovního prostoru služby Log Analytics nebo účtu úložiště. Zásada effect je DeployIfNotExists, která nasadí zásadu jako výchozí, pokud nejsou definovaná jiná nastavení.

Nasaďte zásady.

Nasazení zásad a iniciativ pomocí portálu, rozhraní příkazového řádku, PowerShellu nebo šablon Azure Resource Management

Azure Portal

Následující kroky ukazují, jak použít zásadu k odesílání protokolů auditu pro trezory klíčů do pracovního prostoru služby Log Analytics.

1. Na stránce Zásady vyberte Definice.

2. Vyberte obor. Zásady můžete použít pro celé předplatné, skupinu prostředků nebo jednotlivé prostředky.

3. V rozevíracím seznamu Typ definice vyberte Zásady.

4. V rozevíracím seznamu Kategorie vyberte Monitorování .

5. Do pole Hledat zadejte keyvault.

6. Vyberte zásadu Povolit protokolování podle kategorií pro trezory klíčů (microsoft.keyvault/vaults) do Log Analytics .

7. Na stránce definice zásad vyberte Přiřadit.

8. Vyberte kartu Parametry .

9. Vyberte pracovní prostor služby Log Analytics, do kterého chcete protokoly auditu odeslat.

10. Vyberte kartu Náprava .

11. Na kartě Náprava vyberte zásadu keyvault z rozevíracího seznamu Zásady k nápravě .

12. Zaškrtněte políčko Vytvořit spravovanou identitu .

13. V části Typ spravované identity vyberte Spravovaná identita přiřazená systémem.

14. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit .

Rozhraní příkazového řádku

Pokud chcete použít zásadu pomocí rozhraní příkazového řádku, použijte následující příkazy:

1. Vytvořte přiřazení zásad pomocí az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Například použití zásad pro odesílání protokolů auditu do pracovního prostoru služby Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Přiřaďte požadovanou roli identitě vytvořené pro přiřazení zásad. Vyhledejte roli v definici zásad vyhledáním id roleDefinitionIds.

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Přiřaďte požadovanou roli pomocí az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Příklad:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Aktivujte kontrolu a vyhledejte existující prostředky pomocí az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Vytvořte úlohu nápravy, která použije zásadu u existujících prostředků pomocí az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Třeba

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Další informace o přiřazení zásad pomocí rozhraní příkazového řádku najdete v referenčních informacích k Azure CLI – az policy assignment.

PowerShell

Pokud chcete použít zásadu pomocí PowerShellu, použijte následující příkazy:

1. Nastavte své prostředí. Vyberte předplatné a nastavte skupinu prostředků.

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Získejte definici zásady a nakonfigurujte parametry zásad. V následujícím příkladu přiřadíme zásadu pro odesílání protokolů keyVault do pracovního prostoru služby Log Analytics.

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Přiřazení zásady

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Přiřazení požadované role nebo rolí spravované identitě přiřazené systémem

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Vyhledejte dodržování předpisů a pak vytvořte úlohu nápravy, která vynutí dodržování předpisů pro stávající prostředky.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Kontrola dodržování předpisů

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Zásada se v nastavení diagnostiky prostředků zobrazí přibližně po 30 minutách.

Úkoly pro nápravu

Zásady se použijí na nové prostředky při jejich vytváření. Pokud chcete použít zásadu pro existující prostředky, vytvořte úlohu nápravy. Úlohy nápravy přivádějí prostředky do souladu se zásadami.

Úlohy nápravy fungují pro konkrétní zásady. Pro iniciativy, které obsahují více zásad, vytvořte úlohu nápravy pro každou zásadu v iniciativě, kde máte prostředky, které chcete uvést do dodržování předpisů.

Úlohy nápravy můžete definovat při prvním přiřazení zásady nebo v jakékoli fázi po přiřazení.

Pokud chcete vytvořit úlohu nápravy pro zásady během přiřazení zásad, vyberte kartu Náprava na stránce Přiřadit zásadu a zaškrtněte políčko Vytvořit úlohu nápravy .

Pokud chcete vytvořit úlohu nápravy po přiřazení zásady, vyberte přiřazenou zásadu ze seznamu na stránce Přiřazení zásad.

Vyberte Opravit. Sledujte stav úlohy nápravy na kartě Úlohy nápravy na stránce Náprava zásad.

Další informace o úlohách nápravy najdete v tématu Náprava nevyhovujících prostředků.

Přiřazení iniciativ

Iniciativy jsou kolekce zásad. Existují tři iniciativy pro nastavení diagnostiky služby Azure Monitor:

• Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do služby Event Hubs
• Povolení protokolování prostředků skupiny auditování pro podporované prostředky do Log Analytics
• Povolení protokolování prostředků skupiny auditování pro podporované prostředky do úložiště

V tomto příkladu přiřadíme iniciativu pro odesílání protokolů auditu do pracovního prostoru služby Log Analytics.

Azure Portal

1. Na stránce Definice zásad vyberte obor.

2. V rozevíracím seznamu Typ definice vyberte Iniciativa.

3. V rozevíracím seznamu Kategorie vyberte Monitorování.

4. Do pole Hledat zadejte audit.

5. Vyberte Možnost Povolit protokolování prostředků skupiny auditování pro podporované prostředky pro iniciativu Log Analytics .

6. Na následující stránce vyberte Přiřadit

7. Na kartě Základy na stránce Přiřadit iniciativu vyberte obor , na který má iniciativa platit.

8. Do pole Název přiřazení zadejte název.

9. Vyberte kartu Parametry .

   Parametry obsahují parametry definované v zásadách. V tomto případě musíme vybrat pracovní prostor služby Log Analytics, do kterého chceme protokoly odeslat. Další informace o jednotlivých parametrech jednotlivých zásad najdete v tématu Parametry specifické pro zásady.

10. Vyberte pracovní prostor služby Log Analytics , do které chcete odesílat protokoly auditu.

11. Vyberte Zkontrolovat a vytvořit a pak Vytvořit

Pokud chcete ověřit, že vaše přiřazení zásad nebo iniciativ funguje, vytvořte prostředek v oboru předplatného nebo skupiny prostředků, který jste definovali v přiřazení zásad.

Po 10 minutách vyberte stránku Nastavení diagnostiky pro váš prostředek. Nastavení diagnostiky se zobrazí v seznamu s výchozím názvem setByPolicy-LogAnalytics a názvem pracovního prostoru, který jste nakonfigurovali v zásadách.

Změňte výchozí název na kartě Parametry na stránce Přiřadit iniciativu nebo zásadu zrušením zaškrtnutí políčka Zobrazovat pouze parametry, které vyžadují vstup nebo revizi .

PowerShell

1. Nastavení proměnných prostředí

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Získejte definici iniciativy. V tomto příkladu použijeme iniciativu Povolit protokolování prostředků skupiny auditování kategorií pro podporované prostředky na Log Analytics, ID prostředku /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5.

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Nastavte název přiřazení a nakonfigurujte parametry. U této iniciativy zahrnují parametry ID pracovního prostoru služby Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Přiřazení iniciativy pomocí parametrů

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Přiřaďte Contributor roli spravované identitě přiřazené systémem. U jiných iniciativ zkontrolujte, které role jsou potřeba.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Zkontrolujte dodržování zásad. Vrácení Start-AzPolicyComplianceScan příkazu trvá několik minut.

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Získání seznamu prostředků k nápravě a požadovaných parametrů voláním Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Pro každý typ prostředku s nevyhovujícími zdroji spusťte úlohu nápravy.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Po dokončení úloh nápravy zkontrolujte stav dodržování předpisů.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Podrobnosti o přiřazení zásad můžete získat pomocí následujícího příkazu:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

Rozhraní příkazového řádku

1. Přihlaste se ke svému účtu Azure pomocí az login příkazu .

2. Vyberte předplatné, ve kterém chcete použít iniciativu zásad pomocí az account set příkazu .

3. Přiřaďte iniciativu pomocí .az policy assignment create

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Příklad:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Přiřazení požadované role identitě spravované systémem

   Vyhledejte role, které se mají přiřadit, v libovolné definici zásad v iniciativě vyhledáním roleDefinitionIds, například:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Přiřaďte požadovanou roli pomocí az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Příklad:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Vytvořte úlohy nápravy pro zásady v iniciativě.

   Úlohy nápravy se vytvářejí pro jednotlivé zásady. Každý úkol je určený pro konkrétní definition-reference-idúkol zadaný v iniciativě jako policyDefinitionReferenceId. K vyhledání parametru definition-reference-id použijte následující příkaz:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Náprava prostředků pomocí az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Příklad:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Pokud chcete vytvořit úlohu nápravy pro všechny zásady v iniciativě, použijte následující příklad:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Společné parametry

Následující tabulka popisuje společné parametry pro každou sadu zásad.

Parametr	Popis	Platné hodnoty	Výchozí
účinek	Povolení nebo zakázání spouštění zásad	DeployIfNotExists, AuditIfNotExists, Zakázáno	DeployIfNotExists
diagnosticSettingName	Název nastavení diagnostiky		setByPolicy-LogAnalytics
skupina kategorií	Skupina diagnostických kategorií	Žádný Auditu allLogs	Auditu

Parametry specifické pro zásady

Parametry zásad Log Analytics

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do pracovního prostoru služby Log Analytics.

Parametr	Popis	Platné hodnoty	Výchozí
resourceLocationList	Seznam umístění prostředků pro odesílání protokolů do nedaleké služby Log Analytics. "*" vybere všechna umístění.	Podporovaná umístění	*
LogAnalytics	Pracovní prostor Log Analytics

Parametry zásad služby Event Hubs

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do centra událostí.

Parametr	Popis	Platné hodnoty	Výchozí
resourceLocation	Umístění prostředku musí být stejné jako obor názvů centra událostí.	Podporovaná umístění
eventHubAuthorizationRuleId	ID autorizačního pravidla centra událostí Autorizační pravidlo je na úrovni oboru názvů centra událostí. Například /subscriptions/{ID předplatného}/resourceGroups/{skupina prostředků}/providers/Microsoft.EventHub/namespaces/{obor názvů centra událostí}/authorizationrules/{authorization rule}
eventHubName	Název centra událostí		Monitorování

Parametry zásad účtů úložiště

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště.

Parametr	Popis	Platné hodnoty	Výchozí
resourceLocation	Umístění prostředku musí být ve stejném umístění jako účet úložiště.	Podporovaná umístění
storageAccount	ID prostředku účtu úložiště

Podporované prostředky

Integrované zásady protokolů auditu pro pracovní prostory služby Log Analytics, službu Event Hubs a účty úložiště existují pro následující prostředky:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registryies
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Další kroky

• Vytvoření nastavení diagnostiky ve velkém měřítku pomocí Azure Policy
• Azure Policy předdefinovaných definic pro Azure Monitor
• Přehled služby Azure Policy
• Azure Enterprise Policy jako kód