Beépített szabályzatok az Azure Monitorhoz

A szabályzatok és szabályzatkezdeményezések egyszerű módszert biztosítanak a nagy léptékű naplózás engedélyezéséhez az Azure Monitor diagnosztikai beállításaival. Szabályzatkezdeményeztetés használatával bekapcsolhatja a naplózást az Azure-környezetben lévő összes támogatott erőforrás esetében.

Az erőforrásnaplók segítségével nyomon követheti az erőforrásokon zajló tevékenységeket és eseményeket, és áttekintheti és betekintést nyerhet az esetleges változásokba. Szabályzatokat rendelhet hozzá az erőforrásnaplók engedélyezéséhez és a célhelyekre való elküldéséhez az igényeinek megfelelően. Naplókat küldhet a külső SIEM-rendszerek eseményközpontjaiba, így lehetővé téve a folyamatos biztonsági műveleteket. Naplókat küldhet a tárfiókokba a hosszabb távú tárolás vagy a jogszabályi megfelelőség teljesítése érdekében.

Beépített szabályzatok és kezdeményezések készlete áll rendelkezésre az erőforrásnaplók Log Analytics-munkaterületekre, event hubokra és tárfiókokra való irányításához. A szabályzatok lehetővé teszik a naplózást, és a naplókategória-csoporthoz tartozó naplókat egy eseményközpontba, a Log Analytics-munkaterületre vagy a tárfiókba küldik. A szabályzatok értéke effectDeployIfNotExists, amely alapértelmezettként helyezi üzembe a szabályzatot, ha nincsenek megadva más beállítások.

Szabályzatok üzembe helyezése.

A szabályzatok és kezdeményezések üzembe helyezése a portál, a parancssori felület, a PowerShell vagy az Azure Resource Management sablonjaival

Azure Portal

Az alábbi lépések bemutatják, hogyan alkalmazhatja a szabályzatot arra, hogy naplókat küldjön a kulcstartóknak egy log analytics-munkaterületre.

1. A Szabályzat lapon válassza a Definíciók lehetőséget.

2. Válassza ki a hatókört. Szabályzatot alkalmazhat a teljes előfizetésre, erőforráscsoportra vagy egyéni erőforrásra.

3. A Definíció típusa legördülő listában válassza a Szabályzat lehetőséget.

4. Válassza a Figyelés lehetőséget a Kategória legördülő listában

5. Írja be a keyvault kifejezést a Keresés mezőbe.

6. Válassza a Naplózás engedélyezése kategória szerint csoportot a Kulcstartókhoz (microsoft.keyvault/vaults) a Log Analytics-szabályzathoz .

7. A szabályzatdefiníciós lapon válassza a Hozzárendelés lehetőséget

8. Válassza a Paraméterek lapot.

9. Válassza ki azt a Log Analytics-munkaterületet, amelyre a naplókat el szeretné küldeni.

10. Válassza a Szervizelés lapot.

11. A szervizelés lapon válassza ki a keyvault szabályzatot a Szabályzatból a legördülő lista szervizeléséhez .

12. Jelölje be a Felügyelt identitás létrehozása jelölőnégyzetet.

13. A Felügyelt identitás típusa területen válassza a Rendszer által hozzárendelt felügyelt identitás lehetőséget.

14. Válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget.

Parancssori felület

Ha a parancssori felület használatával szeretne szabályzatot alkalmazni, használja a következő parancsokat:

1. Hozzon létre egy szabályzat-hozzárendelést a használatával az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Ha például a szabályzatot úgy szeretné alkalmazni, hogy auditnaplókat küldjön egy log analytics-munkaterületre

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Rendelje hozzá a szükséges szerepkört a szabályzat-hozzárendeléshez létrehozott identitáshoz. A szerepkör megkeresése a szabályzatdefinícióban a roleDefinitionIds keresésével

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Rendelje hozzá a szükséges szerepkört a következővel az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Például:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Szkennelést indíthat a meglévő erőforrások kereséséhez a használatával az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Hozzon létre egy szervizelési feladatot a szabályzat meglévő erőforrásokra való alkalmazásához a használatával az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Példa:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

A parancssori felület használatával történő szabályzat-hozzárendeléssel kapcsolatos további információkért lásd: Azure CLI-referencia – az policy assignment

PowerShell

Ha a PowerShell használatával szeretne szabályzatot alkalmazni, használja a következő parancsokat:

1. Állítsa be a környezetet. Válassza ki az előfizetést, és állítsa be az erőforráscsoportot

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Kérje le a szabályzatdefiníciót, és konfigurálja a szabályzat paramétereit. Az alábbi példában hozzárendeljük a szabályzatot a keyVault-naplók Log Analytics-munkaterületre való küldéséhez

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. A szabályzat hozzárendelése

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. A szükséges szerepkör vagy szerepkörök hozzárendelése a rendszer által hozzárendelt felügyelt identitáshoz

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Ellenőrizze a megfelelőséget, majd hozzon létre egy szervizelési feladatot, amely kényszeríti a meglévő erőforrások megfelelőségét.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Megfelelőség ellenőrzése

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

A szabályzat körülbelül 30 perc elteltével látható az erőforrások diagnosztikai beállításaiban.

Javítási feladatok

A szabályzatok az új erőforrásokra lesznek alkalmazva a létrehozásukkor. Ha meglévő erőforrásokra szeretne szabályzatot alkalmazni, hozzon létre egy szervizelési feladatot. A szervizelési feladatok az erőforrásokat egy szabályzatnak megfelelően hozzák létre.

A szervizelési feladatok meghatározott szabályzatokhoz működnek. Több szabályzatot tartalmazó kezdeményezések esetén hozzon létre egy szervizelési feladatot a kezdeményezés minden egyes szabályzatához, amelyben olyan erőforrások találhatók, amelyeket megfelelőségre szeretne használni.

A szervizelési feladatokat a szabályzat első hozzárendelésekor vagy a hozzárendelést követő bármely szakaszban definiálhatja.

Ha szervizelési feladatot szeretne létrehozni a szabályzatok számára a szabályzat-hozzárendelés során, jelölje be a Szervizelés lapot a Szabályzat hozzárendelése lapon, és jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet.

Ha szervizelési feladatot szeretne létrehozni a szabályzat hozzárendelése után, válassza ki a hozzárendelt szabályzatot a Szabályzat-hozzárendelések lapon található listából.

Válassza a Szervizelés lehetőséget. Nyomon követheti a szervizelési feladat állapotát a Szabályzat szervizelése lap Szervizelési feladatok lapján.

A szervizelési feladatokkal kapcsolatos további információkért lásd: Nem megfelelő erőforrások szervizelése

Kezdeményezések hozzárendelése

A kezdeményezések szabályzatok gyűjteményei. Az Azure Monitor diagnosztikai beállításainak három kezdeményezése van:

• Naplózási kategóriacsoport erőforrásnaplózásának engedélyezése támogatott erőforrásokhoz az Event Hubsban
• Naplózási kategóriacsoport erőforrásnaplózásának engedélyezése támogatott erőforrásokhoz a Log Analyticsben
• Naplózási kategóriacsoport erőforrásnaplózásának engedélyezése a támogatott erőforrások számára a tárolóba

Ebben a példában egy olyan kezdeményezést rendelünk hozzá, amely naplókat küld egy Log Analytics-munkaterületre.

Azure Portal

1. A szabályzatdefiníciók lapon válassza ki a hatókört.

2. A Definíció típusa legördülő menüben válassza a Kezdeményezés lehetőséget.

3. Válassza a Figyelés lehetőséget a Kategória legördülő listában.

4. Írja be a naplózást a Keresés mezőbe.

5. Válassza az Auditkategóriacsoport erőforrásnaplózásának engedélyezése a támogatott erőforrásokhoz a Log Analytics-kezdeményezéshez lehetőséget.

6. A következő lapon válassza a hozzárendelése lehetőséget.

7. A Kezdeményezés hozzárendelése lap Alapok lapján válassza ki azt a hatókört, amelyre alkalmazni szeretné a kezdeményezést.

8. Adjon meg egy nevet a Hozzárendelés neve mezőben.

9. Válassza a Paraméterek lapot.

   A Paraméterek a szabályzatban definiált paramétereket tartalmazza. Ebben az esetben ki kell választanunk azt a Log Analytics-munkaterületet, amelyre a naplókat el szeretnénk küldeni. Az egyes szabályzatok egyes paramétereiről további információt a Szabályzatspecifikus paraméterek című témakörben talál.

10. Válassza ki a Log Analytics-munkaterületet az auditnaplók elküldéséhez.

11. Válassza a Véleményezés + létrehozás, majd létrehozása lehetőséget.

Annak ellenőrzéséhez, hogy a szabályzat- vagy kezdeményezés-hozzárendelés működik-e, hozzon létre egy erőforrást a szabályzat-hozzárendelésben megadott előfizetésben vagy erőforráscsoport-hatókörben.

10 perc elteltével válassza az erőforrás Diagnosztikai beállítások lapját. A diagnosztikai beállítás megjelenik a listában az alapértelmezett setByPolicy-LogAnalytics névvel és a szabályzatban konfigurált munkaterületnévvel.

Módosítsa az alapértelmezett nevet a Kezdeményezés vagy szabályzat hozzárendelése lap Paraméterek lapján a Csak bemeneti vagy felülvizsgálati paraméterek megjelenítése jelölőnégyzet bejelölésével.

PowerShell

1. Környezeti változók beállítása

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Kérje le a kezdeményezés definícióját. Ebben a példában a "Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5" típusú támogatott erőforrások naplózásának engedélyezése kezdeményezést használjuk.

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Adjon meg egy hozzárendelésnevet, és konfigurálja a paramétereket. Ehhez a kezdeményezéshez a paraméterek tartalmazzák a Log Analytics-munkaterület azonosítóját.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. A kezdeményezés hozzárendelése a paraméterekkel

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Rendelje hozzá a Contributor szerepkört a rendszer által hozzárendelt felügyelt identitáshoz. Egyéb kezdeményezések esetén ellenőrizze, hogy mely szerepkörökre van szükség.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Szabályzatmegfelelés keresése. A Start-AzPolicyComplianceScan parancs visszatérése néhány percet vesz igénybe

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. A szervizelendő erőforrások és a szükséges paraméterek listájának lekérése hívással Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. A nem megfelelő erőforrásokkal rendelkező összes erőforrástípus esetében indítsa el a szervizelési feladatot.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Ellenőrizze a megfelelőségi állapotot, amikor a szervizelési feladatok befejeződtek.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

A szabályzat-hozzárendelés részleteit a következő paranccsal szerezheti be:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

Parancssori felület

1. Jelentkezzen be az Azure-fiókjába az az login paranccsal.

2. Válassza ki azt az előfizetést, amelyre alkalmazni szeretné a szabályzat kezdeményezését a az account set paranccsal.

3. Rendelje hozzá a kezdeményezést a paranccsal az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Például:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. A szükséges szerepkör hozzárendelése a rendszer által felügyelt identitáshoz

   Keresse meg a kezdeményezésben lévő szabályzatdefiníciók bármelyikében hozzárendelni kívánt szerepköröket a roleDefinitionIds definíciójának keresésével, például:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Rendelje hozzá a szükséges szerepkört a használatával az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Például:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Hozzon létre szervizelési feladatokat a kezdeményezésben szereplő szabályzatokhoz.

   A szervizelési feladatok szabályzatonként jönnek létre. Minden feladat egy adott definition-reference-id, a kezdeményezésben a következőként policyDefinitionReferenceIdvan megadva: . A definition-reference-id paraméter megkereséséhez használja a következő parancsot:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Az erőforrások szervizelése a következő használatával: az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Például:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Ha szervizelési feladatot szeretne létrehozni a kezdeményezés összes szabályzatához, használja az alábbi példát:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Gyakori paraméterek

Az alábbi táblázat az egyes szabályzatok gyakori paramétereit ismerteti.

Paraméter	Leírás	Érvényes értékek	Alapértelmezett
hatás	A szabályzat végrehajtásának engedélyezése vagy letiltása	DeployIfNotExists, AuditIfNotExists, Disabled (Letiltva)	DeployIfNotExists
diagnosticSettingName	Diagnosztikai beállítás neve		setByPolicy-LogAnalytics
categoryGroup	Diagnosztikai kategóriacsoport	Nincs Ellenőrzési allLogs	Ellenőrzési

Szabályzatspecifikus paraméterek

Log Analytics-szabályzat paraméterei

Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoporttal a naplók Log Analytics-munkaterületre való irányításához.

Paraméter	Leírás	Érvényes értékek	Alapértelmezett
resourceLocationList	Erőforrás-helylista a naplók közeli Log Analyticsbe való küldéséhez. A "*" az összes helyet kijelöli	Támogatott helyek	*
logAnalytics	Log Analytics-munkaterület

Event Hubs-szabályzatparaméterek

Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoporttal a naplók eseményközpontba való irányításához.

Paraméter	Leírás	Érvényes értékek	Alapértelmezett
resourceLocation	Az erőforrás helyének meg kell egyeznie az eseményközpont névterével	Támogatott helyek
eventHubAuthorizationRuleId	Eseményközpont engedélyezési szabályazonosítója. Az engedélyezési szabály az eseményközpont névterének szintjén van. Például: /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Event Hubs neve		Figyelés

Tárfiókok szabályzatparaméterei

Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoporttal a naplók tárfiókba való átirányításához.

Paraméter	Leírás	Érvényes értékek	Alapértelmezett
resourceLocation	Az erőforrás helyének ugyanabban a helyen kell lennie, mint a tárfióknak	Támogatott helyek
storageAccount	Tárfiók erőforrás-azonosítója

Támogatott erőforrások

A Log Analytics-munkaterületek, az Event Hubs és a Tárfiókok beépített naplózási naplószabályzatai a következő erőforrásokhoz léteznek:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Következő lépések

• Diagnosztikai beállítások létrehozása nagy léptékben a Azure Policy használatával
• az Azure Monitor beépített definícióinak Azure Policy
• Azure Policy áttekintése
• Azure Nagyvállalati Szabályzat kódként