Le iniziative di criteri e criteri offrono un metodo semplice per abilitare la registrazione su larga scala tramite le impostazioni di diagnostica per Monitoraggio di Azure. Usando un'iniziativa di criteri, è possibile attivare la registrazione di controllo per tutte le risorse supportate nell'ambiente Azure.
Abilitare i log delle risorse per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate.
Assegnare criteri per abilitare i log delle risorse e inviarli alle destinazioni in base alle esigenze. Inviare log agli hub eventi per sistemi SIEM di terze parti, abilitando le operazioni di sicurezza continue. Inviare i log agli account di archiviazione per l'archiviazione a lungo termine o l'adempimento della conformità alle normative.
Esiste un set di criteri e iniziative predefiniti per indirizzare i log delle risorse ad aree di lavoro Log Analytics, Hub eventi e account di archiviazione. I criteri abilitano la registrazione di controllo, inviando log appartenenti al gruppo di categorie del log di controllo a un hub eventi, a un'area di lavoro Log Analytics o a un account di archiviazione. Il criterio è effectDeployIfNotExists, che distribuisce i criteri come impostazione predefinita se non sono definite altre impostazioni.
Distribuire i criteri.
Distribuire i criteri e le iniziative usando il portale, l'interfaccia della riga di comando, PowerShell o i modelli di Gestione risorse di Azure
I passaggi seguenti illustrano come applicare i criteri per inviare i log di controllo a per gli insiemi di credenziali delle chiavi a un'area di lavoro Log Analytics.
Nella pagina Criteri selezionare Definizioni.
Selezionare l'ambito. È possibile applicare un criterio all'intera sottoscrizione, a un gruppo di risorse o a una singola risorsa.
Nell'elenco a discesa Tipo di definizione selezionare Criteri.
Selezionare Monitoraggio nell'elenco a discesa Categoria
Immettere keyvault nel campo Cerca .
Selezionare il gruppo Abilita registrazione per categoria per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics ,
Nella pagina di definizione dei criteri selezionare Assegna
Selezionare la scheda Parametri .
Selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log di controllo.
Selezionare la scheda Correzione .
Nella scheda Correzione selezionare i criteri dell'insieme di credenziali delle chiavi dall'elenco a discesa Criteri per correggere .
Selezionare la casella di controllo Crea un'identità gestita .
In Tipo di identità gestita selezionare Identità gestita assegnata dal sistema.
Selezionare Rivedi e crea e quindi crea .
Per applicare un criterio usando l'interfaccia della riga di comando, usare i comandi seguenti:
Assegnare il ruolo necessario all'identità creata per l'assegnazione dei criteri.
Trovare il ruolo nella definizione dei criteri cercando roleDefinitionIds
az policy state trigger-scan --resource-group rg-001
Creare un'attività di correzione per applicare i criteri alle risorse esistenti usando az policy remediation create.
az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>
Ad esempio,
az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
Per altre informazioni sull'assegnazione dei criteri tramite l'interfaccia della riga di comando di Azure, vedere Informazioni di riferimento sull'interfaccia della riga di comando di Azure - az policy assignment
Per applicare un criterio usando PowerShell, usare i comandi seguenti:
Configurare l'ambiente.
Selezionare la sottoscrizione e impostare il gruppo di risorse
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Ottenere la definizione dei criteri e configurare i parametri per il criterio. Nell'esempio seguente viene assegnato il criterio per inviare i log keyVault a un'area di lavoro Log Analytics
Il criterio è visibile nelle impostazioni di diagnostica delle risorse dopo circa 30 minuti.
Attività di correzione
I criteri vengono applicati alle nuove risorse al momento della creazione. Per applicare un criterio alle risorse esistenti, creare un'attività di correzione. Le attività di correzione portano le risorse in conformità ai criteri.
Le attività di correzione agiscono per criteri specifici. Per le iniziative che contengono più criteri, creare un'attività di correzione per ogni criterio nell'iniziativa in cui si dispone di risorse che si desidera rendere conformi.
Definire le attività di correzione quando si assegnano i criteri per la prima volta o in qualsiasi fase dopo l'assegnazione.
Per creare un'attività di correzione per i criteri durante l'assegnazione dei criteri, selezionare la scheda Correzione nella pagina Assegna criteri e selezionare la casella di controllo Crea attività di correzione .
Per creare un'attività di correzione dopo l'assegnazione dei criteri, selezionare il criterio assegnato dall'elenco nella pagina Assegnazioni criteri.
Selezionare Correggi.
Tenere traccia dello stato dell'attività di correzione nella scheda Attività di correzione della pagina Correzione criteri.
Nella pagina Definizioni dei criteri selezionare l'ambito.
Selezionare Iniziativa nell'elenco a discesa Tipo di definizione .
Selezionare Monitoraggio nell'elenco a discesa Categoria .
Immettere audit nel campo Cerca .
Selezionare l'iniziativa Abilita registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Log Analytics .
Nella pagina seguente selezionare Assegna
Nella scheda Informazioni di base della pagina Assegna iniziativa selezionare un ambito a cui applicare l'iniziativa.
Immettere un nome nel campo Nome assegnazione .
Selezionare la scheda Parametri .
I parametri contengono i parametri definiti nei criteri. In questo caso, è necessario selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log. Per altre informazioni sui singoli parametri per ogni criterio, vedere Parametri specifici dei criteri.
Selezionare l'area di lavoro Log Analytics a cui inviare i log di controllo.
Selezionare Rivedi e crea e quindi Crea
Per verificare che l'assegnazione di criteri o iniziative funzioni, creare una risorsa nell'ambito della sottoscrizione o del gruppo di risorse definito nell'assegnazione dei criteri.
Dopo 10 minuti, selezionare la pagina Impostazioni di diagnostica per la risorsa.
L'impostazione di diagnostica viene visualizzata nell'elenco con il nome predefinito setByPolicy-LogAnalytics e il nome dell'area di lavoro configurata nei criteri.
Modificare il nome predefinito nella scheda Parametri della pagina Assegna iniziativa o criterio deselezionando la casella di controllo Mostra solo i parametri che richiedono input o revisione .
Configurare le variabili di ambiente
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Ottenere la definizione dell'iniziativa. In questo esempio si userà initiative enable audit category group resource logging for supported resources to ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Assegnare il ruolo richiesto all'identità gestita dal sistema
Trovare i ruoli da assegnare in una delle definizioni dei criteri nell'iniziativa eseguendo una ricerca nella definizione di roleDefinitionIds, ad esempio:
Creare attività di correzione per i criteri nell'iniziativa.
Le attività di correzione vengono create per criterio. Ogni attività è per un oggetto specifico definition-reference-id, specificato nell'iniziativa come policyDefinitionReferenceId. Per trovare il definition-reference-id parametro, usare il comando seguente:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Per creare un'attività di correzione per tutti i criteri nell'iniziativa, usare l'esempio seguente:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Parametri comuni
Nella tabella seguente vengono descritti i parametri comuni per ogni set di criteri.
Parametro
Descrizione
Valori validi
Predefinito
effetto
Abilitare o disabilitare l'esecuzione dei criteri
DeployIfNotExists, AuditIfNotExists, Disabled
DeployIfNotExists
diagnosticSettingName
Nome impostazione diagnostica
setByPolicy-LogAnalytics
categoryGroup
Gruppo di categorie di diagnostica
Nessuno revisione allLogs
controllo
Parametri specifici dei criteri
Parametri dei criteri di Log Analytics
Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics.
Parametro
Descrizione
Valori validi
Predefinito
resourceLocationList
Elenco percorsi risorse per inviare i log a Log Analytics nelle vicinanze. "*" seleziona tutte le posizioni
Località supportate
*
logAnalytics
Area di lavoro Log Analytics
Parametri dei criteri di Hub eventi
Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi.
Parametro
Descrizione
Valori validi
Predefinito
resourceLocation
Posizione risorsa deve essere la stessa posizione dello spazio dei nomi dell'hub eventi
Località supportate
eventHubAuthorizationRuleId
ID regola di autorizzazione dell'hub eventi. La regola di autorizzazione è a livello di spazio dei nomi dell'hub eventi. Ad esempio, /subscriptions/{ID sottoscrizione}/resourceGroups/{gruppo di risorse}/providers/Microsoft.EventHub/namespaces/{spazio dei nomi dell'hub eventi}/authorizationrules/{regola di autorizzazione}
eventHubName
Nome hub eventi
Monitoraggio
Parametri dei criteri degli account di archiviazione
Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione.
Parametro
Descrizione
Valori validi
Predefinito
resourceLocation
La posizione della risorsa deve trovarsi nella stessa posizione dell'account di archiviazione
Località supportate
storageAccount
ResourceId dell'account di archiviazione
Risorse supportate
I criteri predefiniti dei log di controllo per le aree di lavoro Log Analytics, Hub eventi e gli account di archiviazione esistono per le risorse seguenti: