Directivas integradas de Azure Monitor

Las directivas e iniciativas de directivas proporcionan un método sencillo para habilitar el registro a escala a través de la configuración de diagnóstico para Azure Monitor. Con una iniciativa de directiva, puede activar el registro de auditoría para todos los recursos admitidos en el entorno de Azure.

Habilite los registros de recursos para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Asigne directivas para habilitar los registros de recursos y enviarlos a destinos según sus necesidades. Envíe registros a centros de eventos para sistemas SIEM de terceros, lo que permite operaciones de seguridad continuas. Envíe registros a cuentas de almacenamiento para el almacenamiento a largo plazo o el cumplimiento normativo.

Existe un conjunto de directivas e iniciativas integradas para dirigir los registros de recursos a áreas de trabajo de Log Analytics, Event Hubs y cuentas de almacenamiento. Las directivas habilitan el registro de auditoría y envían registros que pertenecen al grupo de categorías de registro de auditoría a un centro de eventos, un área de trabajo de Log Analytics o una cuenta de almacenamiento. Las directivas effect son DeployIfNotExists, que implementa la directiva como predeterminada si no hay ninguna otra configuración definida.

Implemente las directivas.

Implementación de las directivas e iniciativas mediante el Portal, la CLI, PowerShell o las plantillas de Administración de recursos de Azure

Azure Portal

En los pasos siguientes se muestra cómo aplicar la directiva para enviar registros de auditoría a almacenes de claves a un área de trabajo de análisis de registros.

1. En la página Directiva, seleccione Definiciones.

2. Seleccione el ámbito. Podemos aplicar una directiva a toda una suscripción, a un grupo de recursos o a un recurso individual.

3. En la lista desplegable Tipo de definición, seleccione Directiva.

4. Seleccione Supervisión en la lista desplegable Categoría

5. Escriba keyVault en el campo de Búsqueda.

6. Seleccione el grupo Habilitar registro por categoría para Almacenes de claves (microsoft.keyvault/vaults) en la directiva de Log Analytics,

7. En la página de definición de directiva, seleccione Asignar

8. Seleccione la pestaña Parámetros .

9. Seleccione el área de trabajo de Log Analytics a la que desea enviar los registros de auditoría.

10. Seleccione la pestaña Corrección.

11. En la pestaña Corrección, seleccione la directiva de almacén de claves en la lista desplegable Directiva para corregir.

12. Seleccione la casilla Crear una identidad administrada.

13. En Tipo de identidad administrada, seleccione Identidad administrada asignada por el sistema.

14. Seleccione Revisar y crear y, a continuación, seleccione Crear.

CLI

Para aplicar una directiva mediante la CLI, use los siguientes comandos:

1. Cree una asignación de directiva usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por ejemplo, para aplicar la directiva para enviar registros de auditoría a un área de trabajo de análisis de registros

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Asigne el rol necesario a la identidad creada para la asignación de directiva. Busque el rol en la definición de directiva mediante la búsqueda de roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Asigne el rol necesario mediante az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por ejemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Desencadene un examen para buscar recursos existentes mediante az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Cree una tarea de corrección para aplicar la directiva a los recursos existentes mediante az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por ejemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Para más información sobre la asignación de directivas mediante la CLI, consulte Referencia de la CLI de Azure: az policy assignment

PowerShell

Para aplicar una directiva mediante el PowerShell, use los siguientes comandos:

1. Configure el entorno. Seleccione la suscripción y establezca el grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenga la definición de directiva y configure los parámetros de la directiva. En el ejemplo siguiente se asigna la directiva para enviar registros keyVault a un área de trabajo de Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Asignación de la directiva

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Asignar el rol o roles necesarios a la identidad administrada asignada por el sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Busque cumplimiento y cree una tarea de corrección para forzar el cumplimiento de los recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Comprobar cumplimiento

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

La directiva es visible en la configuración de diagnóstico de los recursos después de aproximadamente 30 minutos.

Tareas de corrección

Las directivas se aplican a los nuevos recursos cuando se crean. Para aplicar una directiva a los recursos existentes, cree una tarea de corrección. Las tareas de corrección aportan recursos al cumplimiento de una directiva.

Las tareas de corrección actúan para directivas específicas. En el caso de las iniciativas que contienen varias directivas, cree una tarea de corrección para cada directiva de la iniciativa en la que tenga recursos que desee incorporar al cumplimiento.

Defina las tareas de corrección cuando asigne por primera vez la directiva o en cualquier fase después de la asignación.

Para crear una tarea de corrección para las directivas durante la asignación de directivas, seleccione la pestaña Corrección en la página Asignar directiva y active la casilla Crear tarea de corrección.

Para crear una tarea de corrección una vez asignada la directiva, seleccione la directiva asignada en la lista de la página Asignaciones de directiva.

Seleccione Corregir. Realice un seguimiento del estado de la tarea de corrección en la pestaña Tareas de corrección de la página Corrección de directivas.

Para obtener más información sobre las tareas de corrección, consulte Corrección de recursos no compatibles

Asignación de iniciativas

Las iniciativas son colecciones de directivas. Hay tres iniciativas para la configuración de diagnósticos de Azure Monitor:

• Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Event Hubs
• Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics
• Habilitación del registro de recursos del grupo de categorías de auditoría para almacenar los recursos admitidos

En este ejemplo, asignamos una iniciativa para enviar registros de auditoría a un área de trabajo de Log Analytics.

Azure Portal

1. En la página Definiciones de directiva, seleccione el ámbito.

2. Seleccione Iniciativa en la lista desplegable Tipo de definición.

3. Seleccione Supervisión en la lista desplegable Categoría.

4. Escriba auditoría en el campo Búsqueda.

5. Seleccione la iniciativa Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics.

6. En la página siguiente, seleccione Asignar

7. En la pestaña Conceptos básicos de la página Asignar iniciativa, seleccione un ámbito al que quiera aplicar la iniciativa.

8. Escriba un nombre en el campo Nombre de asignación.

9. Seleccione la pestaña Parámetros.

   Los parámetros contienen los parámetros definidos en la directiva. En este caso, necesitamos seleccionar el área de trabajo de Log Analytics a la que queremos enviar los registros. Para obtener más información sobre los parámetros individuales de cada directiva, consulte Parámetros específicos de la directiva.

10. Seleccione el área de trabajo de Log Analytics a la que enviar los registros de auditoría.

11. Seleccione Revisar y crear y, después, Crear

Para comprobar que la asignación de directiva o iniciativa funciona, cree un recurso en el ámbito de la suscripción o del grupo de recursos que haya definido en la asignación de directiva.

Después de 10 minutos, seleccione la página Configuración de diagnóstico del recurso. La configuración de diagnóstico aparece en la lista con el nombre predeterminado setByPolicy-LogAnalytics y el nombre del área de trabajo que configuró en la directiva.

Cambie el nombre predeterminado en la pestaña Parámetros de la página Asignar iniciativa o de la directiva desactivando la casilla Mostrar solo los parámetros que necesitan entrada o revisión.

PowerShell

1. Configure las variables de entorno

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenga la definición de la iniciativa. En este ejemplo, usaremos el registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Establezca un nombre de asignación y configure los parámetros. Para esta iniciativa, los parámetros incluyen el identificador del área de trabajo de Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Asignar la iniciativa mediante los parámetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Asigne el rol Contributor a la identidad administrada asignada por el sistema. Para otras iniciativas, compruebe qué roles son necesarios.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Busque cumplimiento de directivas. El comando Start-AzPolicyComplianceScan tarda unos minutos en devolverse

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtener una lista de recursos para corregir y los parámetros necesarios mediante una llamada a Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso con recursos no conformes, inicie una tarea de corrección.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Compruebe el estado de cumplimiento cuando se hayan completado las tareas de corrección.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Puede obtener los detalles de la asignación de directivas mediante el siguiente comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Inicie sesión en su cuenta de Azure mediante el comando az login.

2. Seleccione la suscripción en la que desea aplicar la iniciativa de directiva mediante el comando az account set.

3. Asigne la iniciativa mediante az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por ejemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Asignación del rol necesario a la identidad administrada del sistema

   Busque los roles que se van a asignar en cualquiera de las definiciones de directiva de la iniciativa; para ello, busque roleDefinitionIds, por ejemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Asigne el rol necesario mediante az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por ejemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Cree tareas de corrección para las directivas de la iniciativa.

   Las tareas de corrección se crean por directiva. Cada tarea es para un elemento específico definition-reference-id, especificado en la iniciativa como policyDefinitionReferenceId. Para encontrar el parámetro definition-reference-id, use el comando siguiente:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corrección de los recursos mediante az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por ejemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para crear una tarea de corrección para todas las directivas de la iniciativa, use el ejemplo siguiente:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parámetros comunes

En la tabla siguiente se describen los parámetros comunes para cada conjunto de directivas.

Parámetro	Descripción	Valores válidos	Valor predeterminado
efecto	Habilitar o deshabilitar la ejecución de la directiva	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	Nombre de la configuración del diagnóstico		setByPolicy-LogAnalytics
categoryGroup	Grupo de categorías del diagnóstico	ninguno, auditoría, allLogs	auditoría

Parámetros específicos de la directiva

Parámetros de la directiva de Log Analytics

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocationList	Lista de ubicaciones de recursos para enviar registros a Log Analytics cercano. "*" selecciona todas las ubicaciones	Ubicaciones admitidas	*
logAnalytics	Área de trabajo de Log Analytics

Parámetros de directiva de Event Hubs

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocation	Ubicación del recurso debe ser la misma ubicación que el espacio de nombres del centro de eventos	Ubicaciones admitidas
eventHubAuthorizationRuleId	Id. de la regla de autorización del centro de eventos. La regla de autorización está en el nivel de espacio de nombres del centro de eventos. Por ejemplo, /subscriptions/{id. de suscripción}/resourceGroups/{grupo de recursos}/providers/Microsoft.EventHub/namespaces/{Espacio de nombres del centro de eventos}/authorizationrules/{regla de autorización}
eventHubName	Nombre del centro de eventos		Supervisión

Parámetros de directiva de cuentas de almacenamiento

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocation	Ubicación del recurso debe estar en la misma ubicación que la cuenta de almacenamiento	Ubicaciones admitidas
StorageAccount	Recurso de la cuenta de almacenamiento

Recursos compatibles

Existen directivas de registros de auditoría integradas para áreas de trabajo de Log Analytics, Event Hubs y cuentas de almacenamiento para los siguientes recursos:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Pasos siguientes

• Creación de una configuración de diagnóstico a gran escala mediante Azure Policy
• Definiciones integradas de Azure Policy para Azure Monitor
• Introducción a Azure Policy
• Directiva de Azure Enterprise como código