Kebijakan bawaan untuk Azure Monitor

Kebijakan dan inisiatif kebijakan menyediakan metode sederhana untuk mengaktifkan pengelogan dalam skala besar melalui pengaturan diagnostik untuk Azure Monitor. Dengan menggunakan inisiatif kebijakan, Anda dapat mengaktifkan pengelogan audit untuk semua sumber daya yang didukung di lingkungan Azure Anda.

Aktifkan log sumber daya untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas dan wawasan tentang setiap perubahan yang terjadi. Tetapkan kebijakan untuk mengaktifkan log sumber daya dan mengirimkannya ke tujuan sesuai dengan kebutuhan Anda. Kirim log ke hub peristiwa untuk sistem SIEM pihak ketiga, memungkinkan operasi keamanan berkelanjutan. Kirim log ke akun penyimpanan untuk penyimpanan jangka panjang atau pemenuhan kepatuhan terhadap peraturan.

Serangkaian kebijakan dan inisiatif bawaan ada untuk mengarahkan log sumber daya ke Ruang Kerja Analitik Log, Azure Event Hubs, dan Akun Penyimpanan. Kebijakan ini memungkinkan pengelogan audit, mengirim log milik grup kategori log audit ke hub peristiwa, ruang kerja Analitik Log, atau Akun Penyimpanan. Kebijakan' effect adalah DeployIfNotExists, yang menyebarkan kebijakan sebagai default jika tidak ada pengaturan lain yang ditentukan.

Menyebarkan kebijakan.

Menyebarkan kebijakan dan inisiatif menggunakan templat Portal, CLI, PowerShell, atau Azure Resource Management

Portal Azure

Langkah-langkah berikut menunjukkan cara menerapkan kebijakan untuk mengirim log audit ke untuk brankas kunci ke ruang kerja analitik log.

1. Dari halaman Kebijakan, pilih Definisi.

2. Pilih cakupan Anda. Anda dapat menerapkan kebijakan ke seluruh langganan, grup sumber daya, atau sumber daya individual.

3. Dari menu dropdown Jenis definisi , pilih Kebijakan.

4. Pilih Pemantauan dari menu dropdown Kategori

5. Masukkan keyvault di bidang Pencarian .

6. Pilih aktifkan pengelogan menurut grup kategori untuk Brankas kunci (microsoft.keyvault/vaults) ke kebijakan Analitik Log ,

7. Dari halaman definisi kebijakan, pilih Tetapkan

8. Pilih tab Parameter.

9. Pilih Ruang Kerja Analitik Log yang ingin Anda kirimi log audit.

10. Pilih tab Remediasi .

11. Pada tab remediasi, pilih kebijakan keyvault dari Kebijakan untuk memulihkan dropdown.

12. Pilih kotak centang Buat Identitas Terkelola .

13. Di bawah Jenis Identitas Terkelola, pilih Identitas Terkelola yang ditetapkan sistem.

14. Pilih Tinjau + buat, lalu pilih Buat .

CLI

Untuk menerapkan kebijakan menggunakan CLI, gunakan perintah berikut:

1. Buat penetapan kebijakan menggunakan az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Misalnya, untuk menerapkan kebijakan untuk mengirim log audit ke ruang kerja analitik log

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Tetapkan peran yang diperlukan ke identitas yang dibuat untuk penetapan kebijakan. Temukan peran dalam definisi kebijakan dengan mencari roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Tetapkan peran yang diperlukan menggunakan az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Contohnya:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Picu pemindaian untuk menemukan sumber daya yang ada menggunakan az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Buat tugas remediasi untuk menerapkan kebijakan ke sumber daya yang ada menggunakan az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Misalnya,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Untuk informasi selengkapnya tentang penetapan kebijakan menggunakan CLI, lihat Referensi Azure CLI - penetapan kebijakan az

PowerShell

Untuk menerapkan kebijakan menggunakan PowerShell, gunakan perintah berikut:

1. Siapkan lingkungan Anda. Pilih langganan Anda dan atur grup sumber daya Anda

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Dapatkan definisi kebijakan dan konfigurasikan parameter untuk kebijakan. Dalam contoh di bawah ini kami menetapkan kebijakan untuk mengirim log keyVault ke ruang kerja Analitik Log

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Menetapkan kebijakan

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Menetapkan peran atau peran yang diperlukan ke Identitas Terkelola yang ditetapkan sistem

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Pindai kepatuhan, lalu buat tugas remediasi untuk memaksa kepatuhan terhadap sumber daya yang ada.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Memeriksa kepatuhan

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Kebijakan ini terlihat dalam pengaturan diagnostik sumber daya setelah sekitar 30 menit.

Tugas remediasi

Kebijakan diterapkan ke sumber daya baru saat dibuat. Untuk menerapkan kebijakan ke sumber daya yang ada, buat tugas remediasi. Tugas remediasi membawa sumber daya sesuai dengan kebijakan.

Tugas remediasi bertindak untuk kebijakan tertentu. Untuk inisiatif yang berisi beberapa kebijakan, buat tugas remediasi untuk setiap kebijakan dalam inisiatif di mana Anda memiliki sumber daya yang ingin Anda bawa ke kepatuhan.

Tentukan tugas remediasi saat Anda pertama kali menetapkan kebijakan, atau pada tahap apa pun setelah penugasan.

Untuk membuat tugas remediasi untuk kebijakan selama penetapan kebijakan, pilih tab Remediasi di halaman Tetapkan kebijakan dan pilih kotak centang Buat tugas remediasi .

Untuk membuat tugas remediasi setelah kebijakan ditetapkan, pilih kebijakan yang Anda tetapkan dari daftar di halaman Penetapan Kebijakan.

Pilih Remediate. Lacak status tugas remediasi Anda di tab Tugas remediasi di halaman Remediasi Kebijakan.

Untuk informasi selengkapnya tentang tugas remediasi, lihat Memulihkan sumber daya yang tidak patuh

Menetapkan inisiatif

Inisiatif adalah kumpulan kebijakan. Ada tiga inisiatif untuk pengaturan Diagnostik Azure Monitor:

• Mengaktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke Azure Event Hubs
• Mengaktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke Analitik Log
• Mengaktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke penyimpanan

Dalam contoh ini, kami menetapkan inisiatif untuk mengirim log audit ke ruang kerja Log Analytics.

Portal Azure

1. Dari halaman Definisi kebijakan, pilih cakupan Anda.

2. Pilih Inisiatif di menu dropdown Jenis definisi .

3. Pilih Pemantauan di menu dropdown Kategori .

4. Masukkan audit di bidang Pencarian .

5. Pilih tombol Aktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke inisiatif Analitik Log .

6. Pada halaman berikut, pilih Tetapkan

7. Pada tab Dasar dari halaman Tetapkan inisiatif , pilih Cakupan yang Ingin Anda terapkan inisiatifnya.

8. Masukkan nama di bidang Nama penugasan .

9. Pilih tab Parameter .

   Parameter berisi parameter yang ditentukan dalam kebijakan. Dalam hal ini, kita perlu memilih ruang kerja Analitik Log yang ingin kita kirimi log. Untuk informasi selengkapnya dalam parameter individual untuk setiap kebijakan, lihat Parameter khusus kebijakan.

10. Pilih ruang kerja Analitik Log untuk mengirim log audit Anda.

11. Pilih Tinjau + buat lalu Buat

Untuk memverifikasi bahwa penetapan kebijakan atau inisiatif Anda berfungsi, buat sumber daya dalam cakupan langganan atau grup sumber daya yang Anda tentukan dalam penetapan kebijakan Anda.

Setelah 10 menit, pilih halaman Pengaturan diagnostik untuk sumber daya Anda. Pengaturan diagnostik Anda muncul dalam daftar dengan nama default setByPolicy-LogAnalytics dan nama ruang kerja yang Anda konfigurasikan dalam kebijakan.

Ubah nama default di tab Parameter dari halaman Tetapkan inisiatif atau kebijakan dengan membatalkan pilihan kotak centang Hanya tampilkan parameter yang memerlukan input atau tinjau .

PowerShell

1. Menyiapkan variabel lingkungan Anda

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Dapatkan definisi inisiatif. Dalam contoh ini, kita akan menggunakan Inisiatif Aktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Atur nama penugasan dan konfigurasikan parameter. Untuk inisiatif ini, parameter menyertakan ID ruang kerja Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Menetapkan inisiatif menggunakan parameter

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Tetapkan Contributor peran ke Identitas Terkelola yang ditetapkan sistem. Untuk inisiatif lain, periksa peran mana yang diperlukan.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Pindai kepatuhan kebijakan. Perintah Start-AzPolicyComplianceScan membutuhkan waktu beberapa menit untuk kembali

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Dapatkan daftar sumber daya untuk diremediasi dan parameter yang diperlukan dengan memanggil Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Untuk setiap jenis sumber daya dengan sumber daya yang tidak sesuai, mulai tugas remediasi.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Periksa status kepatuhan ketika tugas remediasi telah selesai.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Anda bisa mendapatkan detail penetapan kebijakan menggunakan perintah berikut:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Masuk ke akun Azure Anda menggunakan az login perintah .

2. Pilih langganan tempat Anda ingin menerapkan inisiatif kebijakan menggunakan az account set perintah .

3. Tetapkan inisiatif menggunakan az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Contohnya:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Menetapkan peran yang diperlukan ke identitas terkelola sistem

   Temukan peran yang akan ditetapkan dalam salah satu definisi kebijakan dalam inisiatif dengan mencari definisi untuk roleDefinitionIds, misalnya:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Tetapkan peran yang diperlukan menggunakan az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Contohnya:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Buat tugas remediasi untuk kebijakan dalam inisiatif.

   Tugas remediasi dibuat per kebijakan. Setiap tugas adalah untuk tertentu definition-reference-id, ditentukan dalam inisiatif sebagai policyDefinitionReferenceId. Untuk menemukan definition-reference-id parameter , gunakan perintah berikut:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Memulihkan sumber daya menggunakan az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Contohnya:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Untuk membuat tugas remediasi untuk semua kebijakan dalam inisiatif, gunakan contoh berikut:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parameter umum

Tabel berikut ini menjelaskan parameter umum untuk setiap set kebijakan.

Parameter	Deskripsi	Nilai yang Valid	Default
efek	Mengaktifkan atau menonaktifkan eksekusi kebijakan	DeployIfNotExists, AuditIfNotExists, Nonaktif	DeployIfNotExists
diagnosticSettingName	Nama Pengaturan Diagnostik		setByPolicy-LogAnalytics
categoryGroup	Grup kategori diagnostik	Tidak Audit allLogs	audit

Parameter khusus kebijakan

Parameter kebijakan Analitik Log

Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log.

Parameter	Deskripsi	Nilai yang Valid	Default
resourceLocationList	Daftar Lokasi Sumber Daya untuk mengirim log ke Analitik Log terdekat. "*" memilih semua lokasi	Lokasi yang didukung	*
logAnalytics	Ruang Kerja Analitik Log

Parameter kebijakan Azure Event Hubs

Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke pusat aktivitas.

Parameter	Deskripsi	Nilai yang Valid	Default
resourceLocation	Lokasi Sumber Daya harus berada di lokasi yang sama dengan Namespace pusat aktivitas	Lokasi yang didukung
eventHubAuthorizationRuleId	ID Aturan Otorisasi hub peristiwa. Aturan otorisasi berada di tingkat namespace layanan hub peristiwa. Misalnya, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nama pusat aktivitas		Pemantauan

Parameter kebijakan Akun Penyimpanan

Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan.

Parameter	Deskripsi	Nilai yang Valid	Default
resourceLocation	Lokasi Sumber Daya harus berada di lokasi yang sama dengan Akun Penyimpanan	Lokasi yang didukung
storageAccount	ResourceId Akun Penyimpanan

Sumber Daya yang Didukung

Kebijakan log Audit bawaan untuk ruang kerja Analitik Log, Azure Event Hubs, dan Akun Penyimpanan ada untuk sumber daya berikut:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Langkah berikutnya

• Buat pengaturan diagnostik dalam skala besar menggunakan Azure Policy
• Definisi bawaan Azure Policy untuk Azure Monitor
• Gambaran Umum Azure Policy
• Azure Enterprise Policy sebagai Kode