Nastavení protokolování pro monitorování aplikací logiky v Microsoft Defender for Cloud

Při monitorování prostředků Azure Logic Apps v Microsoft Azure Security Center můžete zkontrolovat, jestli vaše aplikace logiky používají výchozí zásady. Azure zobrazuje stav prostředku Azure Logic Apps po povolení protokolování a správném nastavení cíle protokolů. Tento článek vysvětluje, jak nakonfigurovat protokolování diagnostiky a zajistit, aby všechny aplikace logiky byly prostředky, které jsou v pořádku.

Tip

Pokud chcete zjistit aktuální stav služby Azure Logic Apps, projděte si stavovou stránku Azure, která uvádí stav různých produktů a služeb v jednotlivých dostupných oblastech.

Požadavky

• Předplatné Azure. Pokud nemáte předplatné, vytvořte si bezplatný účet Azure.

• Existující aplikace logiky s povoleným protokolováním diagnostiky

• Pracovní prostor služby Log Analytics, který je nutný k povolení protokolování pro vaši aplikaci logiky. Pokud pracovní prostor nemáte, nejprve ho vytvořte.

Povolení protokolování diagnostiky

Než budete moct zobrazit stav služby Resource Health pro vaše aplikace logiky, musíte nejprve nastavit protokolování diagnostiky. Pokud už máte pracovní prostor služby Log Analytics, můžete protokolování povolit buď při vytváření aplikace logiky, nebo v existujících aplikacích logiky.

Tip

Ve výchozím nastavení se doporučuje povolit diagnostické protokoly pro Azure Logic Apps. Toto nastavení ale řídíte pro své aplikace logiky. Když pro aplikace logiky povolíte diagnostické protokoly, můžete tyto informace použít k analýze incidentů zabezpečení.

Kontrola nastavení protokolování diagnostiky

Pokud si nejste jistí, jestli vaše aplikace logiky mají povolené protokolování diagnostiky, můžete to zkontrolovat v Defenderu pro cloud:

1. Přihlaste se k webu Azure Portal.
2. Na panelu hledání zadejte a vyberte Defender for Cloud.
3. V nabídce řídicího panelu ochrany úloh v části Obecné vyberte Doporučení.
4. V tabulce návrhů zabezpečení vyhledejte a vyberte Povolit auditování a protokolování>Diagnostické protokoly ve službě Logic Apps by měly být povolené v tabulce bezpečnostních prvků.
5. Na stránce doporučení rozbalte část Nápravné kroky a projděte si možnosti. Diagnostiku Azure Logic Apps můžete povolit výběrem tlačítka Rychlá oprava! nebo podle pokynů k ruční nápravě.

Zobrazení stavu aplikací logiky

Po povolení protokolování diagnostiky můžete zobrazit stav aplikací logiky v Defenderu pro cloud.

1. Přihlaste se k webu Azure Portal.

2. Na panelu hledání zadejte a vyberte Defender for Cloud.

3. V nabídce řídicího panelu ochrany úloh v části Obecné vyberte Inventory.

4. Na stránce inventáře vyfiltrujte seznam prostředků tak, aby se zobrazovaly jenom prostředky Azure Logic Apps. V nabídce stránky vyberte Typy> prostředkůaplikace logiky.

   Čítač Prostředky, které nejsou v pořádku , zobrazuje počet aplikací logiky, které Defender for Cloud považuje za špatné.

5. V seznamu prostředků aplikací logiky si projděte sloupec Doporučení . Pokud chcete zkontrolovat podrobnosti o stavu konkrétní aplikace logiky, vyberte název prostředku nebo vyberte tlačítko se třemi tečkami (...). >Zobrazit prostředek.

6. Pokud chcete napravit potenciální problémy se stavem prostředků, postupujte podle kroků uvedených pro vaše aplikace logiky.

Pokud je protokolování diagnostiky už povolené, může být problém s cílem vašich protokolů. Přečtěte si , jak vyřešit problémy s různými cíli protokolování diagnostiky.

Oprava protokolování diagnostiky pro aplikace logiky

Pokud jsou vaše aplikace logiky v Defenderu pro cloud uvedené jako špatné, otevřete aplikaci logiky v zobrazení kódu v Azure Portal nebo prostřednictvím Azure CLI. Pak zkontrolujte cílovou konfiguraci diagnostických protokolů: Azure Log Analytics, Azure Event Hubs nebo účet Služby Azure Storage.

Cíle Služby Log Analytics a Event Hubs

Pokud jako cíl diagnostických protokolů Azure Logic Apps používáte Log Analytics nebo Event Hubs, zkontrolujte následující nastavení.

1. Pokud chcete ověřit, že jste povolili diagnostické protokoly, zkontrolujte, jestli je pole nastavení logs.enabled diagnostiky nastavené na true.
2. Pokud chcete ověřit, že jste místo toho nenastavili účet úložiště jako cíl, zkontrolujte, jestli storageAccountId je pole nastavené na false.

Příklad:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

Cíl účtu úložiště

Pokud jako cíl pro diagnostické protokoly Azure Logic Apps používáte účet úložiště, zkontrolujte následující nastavení.

1. Pokud chcete ověřit, že jste povolili diagnostické protokoly, zkontrolujte, jestli je pole nastavení logs.enabled diagnostiky nastavené na truehodnotu .
2. Pokud chcete ověřit, že jste povolili zásady uchovávání informací pro diagnostické protokoly, zkontrolujte, že retentionPolicy.enabled je pole nastavené na truehodnotu .
3. Pokud chcete ověřit, že jste nastavili dobu uchovávání na 0–365 dnů, zkontrolujte, že retentionPolicy.days je v poli nastavené číslo (včetně) od 0 do 365.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]