Criteri predefiniti per Monitoraggio di Azure

Le iniziative di criteri e criteri offrono un metodo semplice per abilitare la registrazione su larga scala tramite le impostazioni di diagnostica per Monitoraggio di Azure. Usando un'iniziativa di criteri, è possibile attivare la registrazione di controllo per tutte le risorse supportate nell'ambiente Azure.

Abilitare i log delle risorse per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Assegnare criteri per abilitare i log delle risorse e inviarli alle destinazioni in base alle esigenze. Inviare log agli hub eventi per sistemi SIEM di terze parti, abilitando le operazioni di sicurezza continue. Inviare i log agli account di archiviazione per l'archiviazione a lungo termine o l'adempimento della conformità alle normative.

Esiste un set di criteri e iniziative predefiniti per indirizzare i log delle risorse ad aree di lavoro Log Analytics, Hub eventi e account di archiviazione. I criteri abilitano la registrazione di controllo, inviando log appartenenti al gruppo di categorie del log di controllo a un hub eventi, a un'area di lavoro Log Analytics o a un account di archiviazione. Il criterio è effectDeployIfNotExists, che distribuisce i criteri come impostazione predefinita se non sono definite altre impostazioni.

Distribuire i criteri.

Distribuire i criteri e le iniziative usando il portale, l'interfaccia della riga di comando, PowerShell o i modelli di Gestione risorse di Azure

Azure portal

I passaggi seguenti illustrano come applicare i criteri per inviare i log di controllo a per gli insiemi di credenziali delle chiavi a un'area di lavoro Log Analytics.

1. Nella pagina Criteri selezionare Definizioni.

2. Selezionare l'ambito. È possibile applicare un criterio all'intera sottoscrizione, a un gruppo di risorse o a una singola risorsa.

3. Nell'elenco a discesa Tipo di definizione selezionare Criteri.

4. Selezionare Monitoraggio nell'elenco a discesa Categoria

5. Immettere keyvault nel campo Cerca .

6. Selezionare il gruppo Abilita registrazione per categoria per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics ,

7. Nella pagina di definizione dei criteri selezionare Assegna

8. Selezionare la scheda Parametri .

9. Selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log di controllo.

10. Selezionare la scheda Correzione .

11. Nella scheda Correzione selezionare i criteri dell'insieme di credenziali delle chiavi dall'elenco a discesa Criteri per correggere .

12. Selezionare la casella di controllo Crea un'identità gestita .

13. In Tipo di identità gestita selezionare Identità gestita assegnata dal sistema.

14. Selezionare Rivedi e crea e quindi crea .

CLI

Per applicare un criterio usando l'interfaccia della riga di comando, usare i comandi seguenti:

1. Creare un'assegnazione di criteri usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Ad esempio, per applicare i criteri per inviare i log di controllo a un'area di lavoro Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Assegnare il ruolo necessario all'identità creata per l'assegnazione dei criteri. Trovare il ruolo nella definizione dei criteri cercando roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Assegnare il ruolo richiesto usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Ad esempio:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Attivare un'analisi per trovare le risorse esistenti usando az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Creare un'attività di correzione per applicare i criteri alle risorse esistenti usando az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Ad esempio,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Per altre informazioni sull'assegnazione dei criteri tramite l'interfaccia della riga di comando di Azure, vedere Informazioni di riferimento sull'interfaccia della riga di comando di Azure - az policy assignment

PowerShell

Per applicare un criterio usando PowerShell, usare i comandi seguenti:

1. Configurare l'ambiente. Selezionare la sottoscrizione e impostare il gruppo di risorse

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Ottenere la definizione dei criteri e configurare i parametri per il criterio. Nell'esempio seguente viene assegnato il criterio per inviare i log keyVault a un'area di lavoro Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Assegnare i criteri

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Assegnare il ruolo o i ruoli necessari all'identità gestita assegnata dal sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Cercare la conformità, quindi creare un'attività di correzione per forzare la conformità per le risorse esistenti.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Controlla conformità

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Il criterio è visibile nelle impostazioni di diagnostica delle risorse dopo circa 30 minuti.

Attività di correzione

I criteri vengono applicati alle nuove risorse al momento della creazione. Per applicare un criterio alle risorse esistenti, creare un'attività di correzione. Le attività di correzione portano le risorse in conformità ai criteri.

Le attività di correzione agiscono per criteri specifici. Per le iniziative che contengono più criteri, creare un'attività di correzione per ogni criterio nell'iniziativa in cui si dispone di risorse che si desidera rendere conformi.

Definire le attività di correzione quando si assegnano i criteri per la prima volta o in qualsiasi fase dopo l'assegnazione.

Per creare un'attività di correzione per i criteri durante l'assegnazione dei criteri, selezionare la scheda Correzione nella pagina Assegna criteri e selezionare la casella di controllo Crea attività di correzione .

Per creare un'attività di correzione dopo l'assegnazione dei criteri, selezionare il criterio assegnato dall'elenco nella pagina Assegnazioni criteri.

Selezionare Correggi. Tenere traccia dello stato dell'attività di correzione nella scheda Attività di correzione della pagina Correzione criteri.

Per altre informazioni sulle attività di correzione, vedere Correggere le risorse non conformi

Assegnare iniziative

Le iniziative sono raccolte di criteri. Esistono tre iniziative per le impostazioni di diagnostica di Monitoraggio di Azure:

• Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Hub eventi
• Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Log Analytics
• Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate nell'archiviazione

In questo esempio viene assegnata un'iniziativa per l'invio di log di controllo a un'area di lavoro Log Analytics.

Azure portal

1. Nella pagina Definizioni dei criteri selezionare l'ambito.

2. Selezionare Iniziativa nell'elenco a discesa Tipo di definizione .

3. Selezionare Monitoraggio nell'elenco a discesa Categoria .

4. Immettere audit nel campo Cerca .

5. Selezionare l'iniziativa Abilita registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Log Analytics .

6. Nella pagina seguente selezionare Assegna

7. Nella scheda Informazioni di base della pagina Assegna iniziativa selezionare un ambito a cui applicare l'iniziativa.

8. Immettere un nome nel campo Nome assegnazione .

9. Selezionare la scheda Parametri .

   I parametri contengono i parametri definiti nei criteri. In questo caso, è necessario selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log. Per altre informazioni sui singoli parametri per ogni criterio, vedere Parametri specifici dei criteri.

10. Selezionare l'area di lavoro Log Analytics a cui inviare i log di controllo.

11. Selezionare Rivedi e crea e quindi Crea

Per verificare che l'assegnazione di criteri o iniziative funzioni, creare una risorsa nell'ambito della sottoscrizione o del gruppo di risorse definito nell'assegnazione dei criteri.

Dopo 10 minuti, selezionare la pagina Impostazioni di diagnostica per la risorsa. L'impostazione di diagnostica viene visualizzata nell'elenco con il nome predefinito setByPolicy-LogAnalytics e il nome dell'area di lavoro configurata nei criteri.

Modificare il nome predefinito nella scheda Parametri della pagina Assegna iniziativa o criterio deselezionando la casella di controllo Mostra solo i parametri che richiedono input o revisione .

PowerShell

1. Configurare le variabili di ambiente

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Ottenere la definizione dell'iniziativa. In questo esempio si userà initiative enable audit category group resource logging for supported resources to ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Impostare un nome di assegnazione e configurare i parametri. Per questa iniziativa, i parametri includono l'ID dell'area di lavoro Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Assegnare l'iniziativa usando i parametri

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Assegnare il Contributor ruolo all'identità gestita assegnata dal sistema. Per altre iniziative, verificare quali ruoli sono necessari.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Cercare la conformità dei criteri. La restituzione del Start-AzPolicyComplianceScan comando richiede alcuni minuti

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Ottenere un elenco di risorse da correggere e i parametri necessari chiamando Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Per ogni tipo di risorsa con risorse non conformi, avviare un'attività di correzione.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Controllare lo stato di conformità al termine delle attività di correzione.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

È possibile ottenere i dettagli dell'assegnazione dei criteri usando il comando seguente:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Accedere all'account Azure usando il az login comando .

2. Selezionare la sottoscrizione in cui si vuole applicare l'iniziativa dei criteri usando il az account set comando .

3. Assegnare l'iniziativa usando az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Ad esempio:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Assegnare il ruolo richiesto all'identità gestita dal sistema

   Trovare i ruoli da assegnare in una delle definizioni dei criteri nell'iniziativa eseguendo una ricerca nella definizione di roleDefinitionIds, ad esempio:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Assegnare il ruolo richiesto usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Ad esempio:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Creare attività di correzione per i criteri nell'iniziativa.

   Le attività di correzione vengono create per criterio. Ogni attività è per un oggetto specifico definition-reference-id, specificato nell'iniziativa come policyDefinitionReferenceId. Per trovare il definition-reference-id parametro, usare il comando seguente:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Correggere le risorse usando az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Ad esempio:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Per creare un'attività di correzione per tutti i criteri nell'iniziativa, usare l'esempio seguente:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parametri comuni

Nella tabella seguente vengono descritti i parametri comuni per ogni set di criteri.

Parametro	Descrizione	Valori validi	Predefinito
effetto	Abilitare o disabilitare l'esecuzione dei criteri	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	Nome impostazione diagnostica		setByPolicy-LogAnalytics
categoryGroup	Gruppo di categorie di diagnostica	Nessuno revisione allLogs	controllo

Parametri specifici dei criteri

Parametri dei criteri di Log Analytics

Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics.

Parametro	Descrizione	Valori validi	Predefinito
resourceLocationList	Elenco percorsi risorse per inviare i log a Log Analytics nelle vicinanze. "*" seleziona tutte le posizioni	Località supportate	*
logAnalytics	Area di lavoro Log Analytics

Parametri dei criteri di Hub eventi

Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi.

Parametro	Descrizione	Valori validi	Predefinito
resourceLocation	Posizione risorsa deve essere la stessa posizione dello spazio dei nomi dell'hub eventi	Località supportate
eventHubAuthorizationRuleId	ID regola di autorizzazione dell'hub eventi. La regola di autorizzazione è a livello di spazio dei nomi dell'hub eventi. Ad esempio, /subscriptions/{ID sottoscrizione}/resourceGroups/{gruppo di risorse}/providers/Microsoft.EventHub/namespaces/{spazio dei nomi dell'hub eventi}/authorizationrules/{regola di autorizzazione}
eventHubName	Nome hub eventi		Monitoraggio

Parametri dei criteri degli account di archiviazione

Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione.

Parametro	Descrizione	Valori validi	Predefinito
resourceLocation	La posizione della risorsa deve trovarsi nella stessa posizione dell'account di archiviazione	Località supportate
storageAccount	ResourceId dell'account di archiviazione

Risorse supportate

I criteri predefiniti dei log di controllo per le aree di lavoro Log Analytics, Hub eventi e gli account di archiviazione esistono per le risorse seguenti:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Passaggi successivi

• Creare impostazioni di diagnostica su larga scala usando Criteri di Azure
• Definizioni predefinite di Criteri di Azure per Monitoraggio di Azure
• Panoramica dei criteri di Azure
• Criteri aziendali di Azure come codice