Logboekregistratie instellen voor het bewaken van logische apps in Microsoft Defender for Cloud
Wanneer u uw Azure Logic Apps-resources in Microsoft Azure Security Center bewaakt, kunt u controleren of uw logische apps het standaardbeleid volgen. Azure toont de status van een Azure Logic Apps-resource nadat u logboekregistratie hebt ingeschakeld en de bestemming van de logboeken correct hebt ingesteld. In dit artikel wordt uitgelegd hoe u diagnostische logboekregistratie configureert en ervoor zorgt dat al uw logische apps resources in orde zijn.
Tip
Als u de huidige status voor de Azure Logic Apps-service wilt vinden, raadpleegt u de pagina Azure-status, waarin de status voor verschillende producten en services in elke beschikbare regio wordt vermeld.
Vereisten
Een Azure-abonnement. Als u geen abonnement hebt, maakt u een gratis Azure-account.
Bestaande logische apps waarvoor diagnostische logboekregistratie is ingeschakeld.
Een Log Analytics-werkruimte, die vereist is om logboekregistratie in te schakelen voor uw logische app. Als u geen werkruimte hebt, maakt u eerst uw werkruimte.
registratie in het diagnoselogboek inschakelen
Voordat u de status van de resource voor uw logische apps kunt bekijken, moet u eerst diagnostische logboekregistratie instellen. Als u al een Log Analytics-werkruimte hebt, kunt u logboekregistratie inschakelen wanneer u uw logische app maakt of in bestaande logische apps.
Tip
De standaardaanding is het inschakelen van diagnostische logboeken voor Azure Logic Apps. U bepaalt deze instelling echter voor uw logische apps. Wanneer u diagnostische logboeken inschakelt voor uw logische apps, kunt u de informatie gebruiken om beveiligingsincidenten te analyseren.
Instelling voor diagnostische logboekregistratie controleren
Als u niet zeker weet of diagnostische logboekregistratie is ingeschakeld voor uw logische apps, kunt u dit controleren in Defender for Cloud:
- Meld u aan bij de Azure-portal.
- Typ en selecteer Defender for Cloud in de zoekbalk.
- Selecteer in het dashboardmenu voor workloadbeveiliging onder Algemeende optie Aanbevelingen.
- Zoek in de tabel met beveiligingssuggesties de optie Controle en logboekregistratie> inschakelenDiagnostische logboeken in Logic Apps moet worden ingeschakeld in de tabel met beveiligingsbesturingselementen.
- Vouw op de aanbevelingspagina de sectie Herstelstappen uit en bekijk de opties. U kunt diagnostische gegevens van Azure Logic Apps inschakelen door de knop Snelle oplossing! te selecteren of door de instructies voor handmatig herstel te volgen.
Status van logische apps weergeven
Nadat u diagnostische logboekregistratie hebt ingeschakeld, kunt u de status van uw logische apps in Defender for Cloud zien.
Meld u aan bij de Azure-portal.
Typ en selecteer Defender for Cloud in de zoekbalk.
Selecteer in het dashboardmenu voor workloadbeveiliging onder Algemeen de optie Inventaris.
Filter op de inventarispagina de lijst met assets zodat alleen Azure Logic Apps-resources worden weergegeven. Selecteerlogische apps voor resourcetypen> in het paginamenu.
In de teller Beschadigde resources wordt het aantal logische apps weergegeven dat door Defender voor Cloud als niet in orde wordt beschouwd.
Bekijk de kolom Aanbevelingen in de lijst met resources voor logische apps. Als u de statusgegevens voor een specifieke logische app wilt bekijken, selecteert u een resourcenaam of selecteert u de knop met het beletselteken (...) >Resource weergeven.
Volg de stappen voor uw logische apps om mogelijke problemen met de resourcestatus op te lossen.
Als diagnostische logboekregistratie al is ingeschakeld, is er mogelijk een probleem met de bestemming voor uw logboeken. Bekijk hoe u problemen met verschillende bestemmingen voor diagnostische logboekregistratie kunt oplossen.
Diagnostische logboekregistratie voor logische apps oplossen
Als uw logische apps worden vermeld als beschadigd in Defender voor Cloud, opent u uw logische app in de codeweergave in de Azure Portal of via de Azure CLI. Controleer vervolgens de doelconfiguratie voor uw diagnostische logboeken: Azure Log Analytics, Azure Event Hubs of een Azure Storage-account.
Log Analytics- en Event Hubs-bestemmingen
Als u Log Analytics of Event Hubs gebruikt als bestemming voor uw diagnostische logboeken van Azure Logic Apps, controleert u de volgende instellingen.
- Als u wilt bevestigen dat u diagnostische logboeken hebt ingeschakeld, controleert u of het veld diagnostische instellingen
logs.enabledis ingesteld optrue. - Als u wilt bevestigen dat u in plaats daarvan geen opslagaccount als doel hebt ingesteld, controleert u of het
storageAccountIdveld is ingesteld opfalse.
Bijvoorbeeld:
"allOf": [
{
"field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
"equals": "true"
},
{
"anyOf": [
{
"field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
"notEquals": "true"
},
{
"field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
"exists": false
}
]
}
]
Doel van opslagaccount
Als u een opslagaccount gebruikt als bestemming voor uw diagnostische logboeken van Azure Logic Apps, controleert u de volgende instellingen.
- Als u wilt bevestigen dat u diagnostische logboeken hebt ingeschakeld, controleert u of het veld diagnostische instellingen
logs.enabledis ingesteld optrue. - Als u wilt bevestigen dat u bewaarbeleid hebt ingeschakeld voor uw diagnostische logboeken, controleert u of het
retentionPolicy.enabledveld is ingesteld optrue. - Als u wilt bevestigen dat u een bewaartijd van 0-365 dagen hebt ingesteld, controleert u of het
retentionPolicy.daysveld is ingesteld op een getal tussen 0 en 365.
"allOf": [
{
"field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
"equals": "true"
},
{
"anyOf": [
{
"field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
"equals": "0"
},
{
"field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
"equals": "[parameters('requiredRetentionDays')]"
}
]
},
{
"field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
"equals": "true"
}
]