Las directivas e iniciativas de directivas proporcionan un método sencillo para habilitar el registro a escala a través de la configuración de diagnóstico para Azure Monitor. Con una iniciativa de directiva, puede activar el registro de auditoría para todos los recursos admitidos en el entorno de Azure.
Habilite los registros de recursos para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan.
Asigne directivas para habilitar los registros de recursos y enviarlos a destinos según sus necesidades. Envíe registros a centros de eventos para sistemas SIEM de terceros, lo que permite operaciones de seguridad continuas. Envíe registros a cuentas de almacenamiento para el almacenamiento a largo plazo o el cumplimiento normativo.
Existe un conjunto de directivas e iniciativas integradas para dirigir los registros de recursos a áreas de trabajo de Log Analytics, Event Hubs y cuentas de almacenamiento. Las directivas habilitan el registro de auditoría y envían registros que pertenecen al grupo de categorías de registro de auditoría a un centro de eventos, un área de trabajo de Log Analytics o una cuenta de almacenamiento. Las directivas effect son DeployIfNotExists, que implementa la directiva como predeterminada si no hay ninguna otra configuración definida.
Implemente las directivas.
Implementación de las directivas e iniciativas mediante el Portal, la CLI, PowerShell o las plantillas de Administración de recursos de Azure
En los pasos siguientes se muestra cómo aplicar la directiva para enviar registros de auditoría a almacenes de claves a un área de trabajo de análisis de registros.
En la página Directiva, seleccione Definiciones.
Seleccione el ámbito. Podemos aplicar una directiva a toda una suscripción, a un grupo de recursos o a un recurso individual.
En la lista desplegable Tipo de definición, seleccione Directiva.
Seleccione Supervisión en la lista desplegable Categoría
Escriba keyVault en el campo de Búsqueda.
Seleccione el grupo Habilitar registro por categoría para Almacenes de claves (microsoft.keyvault/vaults) en la directiva de Log Analytics,
En la página de definición de directiva, seleccione Asignar
Seleccione la pestaña Parámetros .
Seleccione el área de trabajo de Log Analytics a la que desea enviar los registros de auditoría.
Seleccione la pestaña Corrección.
En la pestaña Corrección, seleccione la directiva de almacén de claves en la lista desplegable Directiva para corregir.
Seleccione la casilla Crear una identidad administrada.
En Tipo de identidad administrada, seleccione Identidad administrada asignada por el sistema.
Seleccione Revisar y crear y, a continuación, seleccione Crear.
Para aplicar una directiva mediante la CLI, use los siguientes comandos:
Asigne el rol necesario a la identidad creada para la asignación de directiva.
Busque el rol en la definición de directiva mediante la búsqueda de roleDefinitionIds
Para aplicar una directiva mediante el PowerShell, use los siguientes comandos:
Configure el entorno.
Seleccione la suscripción y establezca el grupo de recursos
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Obtenga la definición de directiva y configure los parámetros de la directiva. En el ejemplo siguiente se asigna la directiva para enviar registros keyVault a un área de trabajo de Log Analytics
La directiva es visible en la configuración de diagnóstico de los recursos después de aproximadamente 30 minutos.
Tareas de corrección
Las directivas se aplican a los nuevos recursos cuando se crean. Para aplicar una directiva a los recursos existentes, cree una tarea de corrección. Las tareas de corrección aportan recursos al cumplimiento de una directiva.
Las tareas de corrección actúan para directivas específicas. En el caso de las iniciativas que contienen varias directivas, cree una tarea de corrección para cada directiva de la iniciativa en la que tenga recursos que desee incorporar al cumplimiento.
Defina las tareas de corrección cuando asigne por primera vez la directiva o en cualquier fase después de la asignación.
Para crear una tarea de corrección para las directivas durante la asignación de directivas, seleccione la pestaña Corrección en la página Asignar directiva y active la casilla Crear tarea de corrección.
Para crear una tarea de corrección una vez asignada la directiva, seleccione la directiva asignada en la lista de la página Asignaciones de directiva.
Seleccione Corregir.
Realice un seguimiento del estado de la tarea de corrección en la pestaña Tareas de corrección de la página Corrección de directivas.
En la página Definiciones de directiva, seleccione el ámbito.
Seleccione Iniciativa en la lista desplegable Tipo de definición.
Seleccione Supervisión en la lista desplegable Categoría.
Escriba auditoría en el campo Búsqueda.
Seleccione la iniciativa Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics.
En la página siguiente, seleccione Asignar
En la pestaña Conceptos básicos de la página Asignar iniciativa, seleccione un ámbito al que quiera aplicar la iniciativa.
Escriba un nombre en el campo Nombre de asignación.
Seleccione la pestaña Parámetros.
Los parámetros contienen los parámetros definidos en la directiva. En este caso, necesitamos seleccionar el área de trabajo de Log Analytics a la que queremos enviar los registros. Para obtener más información sobre los parámetros individuales de cada directiva, consulte Parámetros específicos de la directiva.
Seleccione el área de trabajo de Log Analytics a la que enviar los registros de auditoría.
Seleccione Revisar y crear y, después, Crear
Para comprobar que la asignación de directiva o iniciativa funciona, cree un recurso en el ámbito de la suscripción o del grupo de recursos que haya definido en la asignación de directiva.
Después de 10 minutos, seleccione la página Configuración de diagnóstico del recurso.
La configuración de diagnóstico aparece en la lista con el nombre predeterminado setByPolicy-LogAnalytics y el nombre del área de trabajo que configuró en la directiva.
Cambie el nombre predeterminado en la pestaña Parámetros de la página Asignar iniciativa o de la directiva desactivando la casilla Mostrar solo los parámetros que necesitan entrada o revisión.
Configure las variables de entorno
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Obtenga la definición de la iniciativa. En este ejemplo, usaremos el registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Establezca un nombre de asignación y configure los parámetros. Para esta iniciativa, los parámetros incluyen el identificador del área de trabajo de Log Analytics.
Asignación del rol necesario a la identidad administrada del sistema
Busque los roles que se van a asignar en cualquiera de las definiciones de directiva de la iniciativa; para ello, busque roleDefinitionIds, por ejemplo:
Cree tareas de corrección para las directivas de la iniciativa.
Las tareas de corrección se crean por directiva. Cada tarea es para un elemento específico definition-reference-id, especificado en la iniciativa como policyDefinitionReferenceId. Para encontrar el parámetro definition-reference-id, use el comando siguiente:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Para crear una tarea de corrección para todas las directivas de la iniciativa, use el ejemplo siguiente:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Parámetros comunes
En la tabla siguiente se describen los parámetros comunes para cada conjunto de directivas.
Parámetro
Descripción
Valores válidos
Valor predeterminado
efecto
Habilitar o deshabilitar la ejecución de la directiva
DeployIfNotExists, AuditIfNotExists, Disabled
DeployIfNotExists
diagnosticSettingName
Nombre de la configuración del diagnóstico
setByPolicy-LogAnalytics
categoryGroup
Grupo de categorías del diagnóstico
ninguno, auditoría, allLogs
auditoría
Parámetros específicos de la directiva
Parámetros de la directiva de Log Analytics
Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics.
Parámetro
Descripción
Valores válidos
Valor predeterminado
resourceLocationList
Lista de ubicaciones de recursos para enviar registros a Log Analytics cercano. "*" selecciona todas las ubicaciones
Ubicaciones admitidas
*
logAnalytics
Área de trabajo de Log Analytics
Parámetros de directiva de Event Hubs
Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos.
Parámetro
Descripción
Valores válidos
Valor predeterminado
resourceLocation
Ubicación del recurso debe ser la misma ubicación que el espacio de nombres del centro de eventos
Ubicaciones admitidas
eventHubAuthorizationRuleId
Id. de la regla de autorización del centro de eventos. La regla de autorización está en el nivel de espacio de nombres del centro de eventos. Por ejemplo, /subscriptions/{id. de suscripción}/resourceGroups/{grupo de recursos}/providers/Microsoft.EventHub/namespaces/{Espacio de nombres del centro de eventos}/authorizationrules/{regla de autorización}
eventHubName
Nombre del centro de eventos
Supervisión
Parámetros de directiva de cuentas de almacenamiento
Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento.
Parámetro
Descripción
Valores válidos
Valor predeterminado
resourceLocation
Ubicación del recurso debe estar en la misma ubicación que la cuenta de almacenamiento
Ubicaciones admitidas
StorageAccount
Recurso de la cuenta de almacenamiento
Recursos compatibles
Existen directivas de registros de auditoría integradas para áreas de trabajo de Log Analytics, Event Hubs y cuentas de almacenamiento para los siguientes recursos: