Configurer la journalisation pour surveiller les applications logiques dans Microsoft Defender pour le cloud

Lorsque vous supervisez vos ressources Azure Logic Apps dans Microsoft Azure Security Center, vous pouvez vérifier si vos applications logiques suivent les stratégies par défaut. Azure affiche l’état d’intégrité d’une ressource Azure Logic Apps une fois que vous avez activé la journalisation et configuré correctement la destination des journaux. Cet article explique comment configurer la journalisation des diagnostics et s’assurer que toutes vos applications logiques sont des ressources saines.

Conseil

Pour connaître l’état actuel du service Azure Logic Apps, consultez la page d’état Azure, qui liste l’état de différents produits et services dans chaque région disponible.

Prérequis

• Un abonnement Azure. Si vous n’avez pas d’abonnement, créez un compte Azure gratuit.

• Applications logiques existantes avec journalisation des diagnostics activée

• Un espace de travail Log Analytics, nécessaire pour activer la journalisation pour votre application logique. Si vous n’avez pas d’espace de travail, commencez par créer votre espace de travail

Activer la journalisation des diagnostics

Avant de pouvoir afficher l’état d’intégrité des ressources pour vos applications logiques, vous devez configurer la journalisation des diagnostics. Si vous avez déjà un espace de travail Log Analytics, vous pouvez activer la journalisation lorsque vous créez votre application logique ou sur des applications logiques existantes.

Conseil

La recommandation par défaut consiste à activer les journaux de diagnostic pour Azure Logic Apps. Toutefois, vous contrôlez ce paramètre pour vos applications logiques. Lorsque vous activez les journaux de diagnostic pour vos applications logiques, vous pouvez utiliser ces informations pour faciliter l’analyse des incidents de sécurité.

Vérifier le paramètre de journalisation des diagnostics

Si vous ne savez pas si la journalisation des diagnostics est activée pour vos applications logiques, vous pouvez le vérifier dans Defender pour le cloud :

1. Connectez-vous au portail Azure.
2. Dans la barre de recherche, entrez et sélectionnez Defender pour le cloud.
3. Dans le menu du tableau de bord de protection de la charge de travail, sous Général, sélectionnez Recommandations.
4. Dans le tableau des suggestions de sécurité, recherchez et sélectionnez Activer l’audit et la journalisation>Les journaux de diagnostic dans Logic Apps doivent être activés dans le tableau des contrôles de sécurité.
5. Dans la page de recommandation, développez la section Étapes de correction et passez en revue les options. Vous pouvez activer les diagnostics Azure Logic Apps en sélectionnant le bouton Correctif rapide ou en suivant les instructions de correction manuelle.

Afficher l’état d’intégrité des applications logiques

Une fois que vous avez activé la journalisation des diagnostics, vous pouvez voir l’état d’intégrité de vos applications logiques dans Defender pour le cloud.

1. Connectez-vous au portail Azure.

2. Dans la barre de recherche, entrez et sélectionnez Defender pour le cloud.

3. Dans le menu du tableau de bord de protection de la charge de travail, sous Général, sélectionnez Inventaire.

4. Dans la page d’inventaire, filtrez votre liste de ressources pour afficher uniquement les ressources Azure Logic Apps. Dans le menu de la page, sélectionnez Types de ressources>Logic Apps.

   Le compteur Ressources non intègres affiche le nombre d’applications logiques que Defender pour le cloud considère comme non intègres.

5. Dans la liste des ressources Logic Apps, examinez la colonne Recommandations. Pour consulter les détails d’intégrité d’une application logique spécifique, sélectionnez un nom de ressource ou cliquez sur le bouton de sélection (...) >Afficher la ressource.

6. Pour résoudre les problèmes potentiels d’intégrité des ressources, suivez les étapes indiquées pour vos applications logiques.

Si la journalisation des diagnostics est déjà activée, il y a peut-être un problème avec la destination de vos journaux. Consultez la section relative à la résolution des problèmes liés à différentes destinations de journalisation de diagnostic.

Corriger la journalisation des diagnostics pour les applications logiques

Si vos applications logiques sont listées comme étant non intègres dans Defender pour le cloud, ouvrez votre application logique en mode code dans le portail Azure ou à l’aide d’Azure CLI. Ensuite, vérifiez la configuration de destination de vos journaux de diagnostic : Azure Log Analytics, Azure Event Hubs ou un compte Stockage Azure.

Destinations Log Analytics et Event Hubs

Si vous utilisez Log Analytics ou Event Hubs comme destination de vos journaux de diagnostic Azure Logic Apps, vérifiez les paramètres suivants.

1. Pour confirmer que vous avez activé les journaux de diagnostic, vérifiez que le champ logs.enabled des paramètres de diagnostic a la valeur true.
2. Pour confirmer que vous n’avez pas défini un compte de stockage comme destination à la place, vérifiez que le champ storageAccountId a la valeur false.

Par exemple :

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

Destination Compte de stockage

Si vous utilisez un compte de stockage comme destination de vos journaux de diagnostic Azure Logic Apps, vérifiez les paramètres suivants.

1. Pour confirmer que vous avez activé les journaux de diagnostic, vérifiez que le champ logs.enabled des paramètres de diagnostic a la valeur true.
2. Pour confirmer que vous avez activé une stratégie de conservation pour vos journaux de diagnostic, vérifiez que le champ retentionPolicy.enabled a la valeur true.
3. Pour confirmer que vous avez défini une durée de conservation comprise entre 0 et 365 jours, vérifiez que le champ retentionPolicy.days a comme valeur un nombre compris entre 0 et 365.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]