Einrichten der Protokollierung zur Überwachung logischer Anwendungen in Microsoft Defender für Cloud

Bei der Überwachung Ihrer Azure Logic Apps-Ressourcen in Microsoft Azure Security Center können Sie überprüfen, ob die Logik-Apps die Standardrichtlinien einhalten. In Azure wird der Integritätsstatus für eine Azure Logic Apps-Ressource angezeigt, nachdem Sie die Protokollierung aktiviert und das Ziel der Protokolle ordnungsgemäß eingerichtet haben. In diesem Artikel wird erläutert, wie Sie die Diagnoseprotokollierung konfigurieren und sicherstellen, dass alle Logik-Apps fehlerfreie Ressourcen sind.

Tipp

Informationen zum aktuellen Status des Azure Logic Apps-Diensts finden Sie auf der Seite Azure-Status, auf der die Status für verschiedene Produkte und Dienste in jeder verfügbaren Region aufgeführt sind.

Voraussetzungen

• Ein Azure-Abonnement. Sollten Sie noch kein Abonnement besitzen, erstellen Sie ein kostenloses Azure-Konto.

• Vorhandene Logik-Apps mit aktivierter Diagnoseprotokollierung.

• Ein Log Analytics-Arbeitsbereich, der zum Aktivieren der Protokollierung für die Logik-App erforderlich ist. Erstellen Sie zunächst Ihren Arbeitsbereich, wenn noch kein Arbeitsbereich vorhanden ist.

Aktivieren der Diagnoseprotokollierung

Damit Sie den Integritätsstatus von Ressourcen anzeigen können, müssen Sie zunächst die Diagnoseprotokollierung einrichten. Wenn Sie bereits über einen Log Analytics-Arbeitsbereich verfügen, können Sie die Protokollierung entweder beim Erstellen Ihrer Logik-App oder für vorhandene Logik-Apps aktivieren.

Tipp

Standardmäßig wird empfohlen, Diagnoseprotokolle für Azure Logic Apps zu aktivieren. Diese Einstellung können Sie jedoch für Ihre Logik-Apps steuern. Wenn Sie Diagnoseprotokolle für Ihre Logik-Apps aktivieren, können Sie anhand der Informationen Sicherheitsvorfälle analysieren.

Überprüfen der Einstellung für die Diagnoseprotokollierung

Wenn Sie nicht sicher sind, ob die Diagnoseprotokollierung für Ihre Logik-Apps aktiviert ist, können Sie dies in Security Center überprüfen:

1. Melden Sie sich am Azure-Portal an.
2. Geben Sie in die Suchleiste ein und wählen Sie Defender für Cloud.
3. Wählen Sie im Menü des Workload-Schutz-Dashboards unter Allgemein die Option Empfehlungen.
4. Suchen Sie in der Tabelle mit den Sicherheitsvorschlägen nach Überwachung und Protokollierung aktivieren>In Logic Apps müssen Diagnoseprotokolle aktiviert sein, und wählen Sie die Empfehlung aus.
5. Erweitern Sie auf der Empfehlungsseite den Abschnitt Schritte zur Korrektur, und überprüfen Sie die Optionen. Sie können die Azure Logic Apps-Diagnose aktivieren, indem Sie die Schaltfläche Schnelle Problembehebung! auswählen oder die Anweisungen zur manuellen Korrektur befolgen.

Anzeigen des Integritätsstatus von Logik-Apps

Nachdem Sie die Diagnoseprotokollierung aktiviert haben, können Sie den Integritätsstatus Ihrer Logik-Apps in Security Center anzeigen.

1. Melden Sie sich am Azure-Portal an.

2. Geben Sie in die Suchleiste ein und wählen Sie Defender für Cloud.

3. Wählen Sie im Menüs des Workloadschutz-Dashboards unter Allgemein die Option Bestand.

4. Filtern Sie auf der Seite „Bestand“ die Liste Ihrer Ressourcen, um nur Azure Logic Apps-Ressourcen anzuzeigen. Wählen Sie im Seitenmenü die Optionen Ressourcentypen>Logik-Apps aus.

   Der Zähler Ungesunde Ressourcen zeigt die Anzahl der logischen Anwendungen an, die Defender für Cloud als problematisch einstuft.

5. Überprüfen Sie in der Liste der Logic Apps-Ressourcen die Spalte Empfehlungen. Wählen Sie zum Überprüfen der Integritätsdetails für eine bestimmte Logik-App einen Ressourcennamen oder die Schaltfläche mit den Auslassungspunkten (...) >Ressource anzeigen aus.

6. Um potenzielle Probleme mit der Ressourcenintegrität zu beheben, führen Sie die aufgeführten Schritte für Ihre Logik-Apps aus.

Wenn die Diagnoseprotokollierung bereits aktiviert ist, liegt möglicherweise ein Problem mit dem Ziel für die Protokolle vor. Weitere Informationen dazu finden Sie unter Beheben von Problemen bei unterschiedlichen Zielen der Diagnoseprotokollierung.

Korrigieren der Diagnoseprotokollierung für Logik-Apps

Wenn Ihre Logik-Apps in Defender für Cloud als ungesund aufgeführt sind, öffnen Sie Ihre Logik-App in der Codeansicht im Azure-Portal oder über die Azure-Befehlszeilenschnittstelle. Überprüfen Sie dann die Zielkonfiguration für die Diagnoseprotokolle: Azure Log Analytics, Azure Event Hubs oder ein Azure Storage-Konto.

Log Analytics- und Event Hubs-Ziele

Wenn Sie Log Analytics oder Event Hubs als Ziel für die Azure Logic Apps-Diagnoseprotokolle verwenden, überprüfen Sie die folgenden Einstellungen.

1. Um zu überprüfen, ob Diagnoseprotokolle aktiviert sind, vergewissern Sie sich, ob das Feld logs.enabled der Diagnoseeinstellungen auf true festgelegt ist.
2. Um zu überprüfen, ob Sie stattdessen nicht ein Speicherkonto als Ziel angegeben haben, vergewissern Sie sich, ob das Feld storageAccountId auf false festgelegt ist.

Beispiel:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

Speicherkontoziel

Wenn Sie ein Speicherkonto als Ziel für die Azure Logic Apps-Diagnoseprotokolle verwenden, überprüfen Sie die folgenden Einstellungen.

1. Um zu überprüfen, ob Diagnoseprotokolle aktiviert sind, vergewissern Sie sich, dass das Feld logs.enabled der Diagnoseeinstellungen auf true festgelegt ist.
2. Um zu überprüfen, ob Sie eine Aufbewahrungsrichtlinie für die Diagnoseprotokolle aktiviert haben, vergewissern Sie sich, dass das Feld retentionPolicy.enabled auf true festgelegt ist.
3. Um zu überprüfen, ob Sie eine Aufbewahrungsdauer von 0–365 Tagen angegeben haben, vergewissern Sie sich, dass das Feld retentionPolicy.days auf eine Zahl zwischen 0 und 365 festgelegt ist.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]