Wbudowane zasady dla usługi Azure Monitor

Inicjatywy zasad i zasad zapewniają prostą metodę włączania rejestrowania na dużą skalę za pośrednictwem ustawień diagnostycznych usługi Azure Monitor. Korzystając z inicjatywy zasad, można włączyć rejestrowanie inspekcji dla wszystkich obsługiwanych zasobów w środowisku platformy Azure.

Włącz dzienniki zasobów, aby śledzić działania i zdarzenia, które mają miejsce w zasobach, oraz zapewnić widoczność i wgląd w wszelkie zmiany, które wystąpiły. Przypisz zasady, aby włączyć dzienniki zasobów i wysyłać je do miejsc docelowych zgodnie z potrzebami. Wysyłanie dzienników do centrów zdarzeń dla systemów SIEM innych firm, co umożliwia ciągłe operacje zabezpieczeń. Wysyłanie dzienników do kont magazynu w celu dłuższego przechowywania lub realizacji zgodności z przepisami.

Istnieje zestaw wbudowanych zasad i inicjatyw bezpośrednich dzienników zasobów w obszarach roboczych usługi Log Analytics, usłudze Event Hubs i kontach magazynu. Zasady umożliwiają rejestrowanie inspekcji, wysyłanie dzienników należących do grupy kategorii dziennika inspekcji do centrum zdarzeń, obszaru roboczego usługi Log Analytics lub konta magazynu. effect Zasady to DeployIfNotExists, która wdraża zasady jako domyślne, jeśli nie zdefiniowano innych ustawień.

Wdrażanie zasad.

Wdrażanie zasad i inicjatyw przy użyciu portalu, interfejsu wiersza polecenia, programu PowerShell lub szablonów usługi Azure Resource Management

Witryna Azure Portal

W poniższych krokach pokazano, jak zastosować zasady w celu wysyłania dzienników inspekcji do magazynu kluczy do obszaru roboczego usługi Log Analytics.

1. Na stronie Zasady wybierz pozycję Definicje.

2. Wybierz zakres. Zasady można zastosować do całej subskrypcji, grupy zasobów lub pojedynczego zasobu.

3. Z listy rozwijanej Typ definicji wybierz pozycję Zasady.

4. Wybierz pozycję Monitorowanie z listy rozwijanej Kategoria

5. Wprowadź ciąg keyvault w polu Wyszukaj .

6. Wybierz pozycję Włącz rejestrowanie według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) do zasad usługi Log Analytics .

7. Na stronie definicji zasad wybierz pozycję Przypisz

8. Wybierz kartę Parametry .

9. Wybierz obszar roboczy usługi Log Analytics, do którego chcesz wysłać dzienniki inspekcji.

10. Wybierz kartę Korygowanie .

11. Na karcie Korygowanie wybierz zasady magazynu kluczy z listy rozwijanej Zasady, aby skorygować .

12. Zaznacz pole wyboru Utwórz tożsamość zarządzaną .

13. W obszarze Typ tożsamości zarządzanej wybierz pozycję Tożsamość zarządzana przypisana przez system.

14. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz .

Interfejs wiersza polecenia

Aby zastosować zasady przy użyciu interfejsu wiersza polecenia, użyj następujących poleceń:

1. Utwórz przypisanie zasad przy użyciu polecenia az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Aby na przykład zastosować zasady do wysyłania dzienników inspekcji do obszaru roboczego usługi Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Przypisz wymaganą rolę do tożsamości utworzonej dla przypisania zasad. Znajdź rolę w definicji zasad, wyszukując identyfikatory roleDefinitionId

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Przypisz wymaganą rolę przy użyciu polecenia az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Na przykład:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Wyzwól skanowanie w celu znalezienia istniejących zasobów przy użyciu polecenia az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Utwórz zadanie korygowania, aby zastosować zasady do istniejących zasobów przy użyciu polecenia az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Na przykład

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Aby uzyskać więcej informacji na temat przypisywania zasad przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Dokumentacja interfejsu wiersza polecenia platformy Azure — az policy assignment

Program PowerShell

Aby zastosować zasady przy użyciu programu PowerShell, użyj następujących poleceń:

1. Skonfiguruj środowisko. Wybierz subskrypcję i ustaw grupę zasobów

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Pobierz definicję zasad i skonfiguruj parametry zasad. W poniższym przykładzie przypisujemy zasady do wysyłania dzienników magazynu kluczy do obszaru roboczego usługi Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Przypisywanie zasad

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Przypisywanie wymaganej roli lub ról do przypisanej przez system tożsamości zarządzanej

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Skanuj pod kątem zgodności, a następnie utwórz zadanie korygowania, aby wymusić zgodność istniejących zasobów.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Sprawdź zgodność

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Zasady są widoczne w ustawieniach diagnostycznych zasobów po około 30 minutach.

Zadania korygowania

Zasady są stosowane do nowych zasobów podczas ich tworzenia. Aby zastosować zasady do istniejących zasobów, utwórz zadanie korygowania. Zadania korygowania mają zgodność zasobów z zasadami.

Zadania korygowania działają dla określonych zasad. W przypadku inicjatyw zawierających wiele zasad utwórz zadanie korygowania dla każdej zasady w inicjatywie, w której masz zasoby, które chcesz zapewnić zgodność.

Zdefiniuj zadania korygowania podczas pierwszego przypisywania zasad lub na dowolnym etapie po przypisaniu.

Aby utworzyć zadanie korygowania zasad podczas przypisywania zasad, wybierz kartę Korygowanie na stronie Przypisywanie zasad i zaznacz pole wyboru Utwórz zadanie korygowania .

Aby utworzyć zadanie korygowania po przypisaniu zasad, wybierz przypisane zasady z listy na stronie Przypisania zasad.

Wybierz pozycję Koryguj. Śledź stan zadania korygowania na karcie Zadania korygowania na stronie Korygowanie zasad.

Aby uzyskać więcej informacji na temat zadań korygowania, zobacz Korygowanie niezgodnych zasobów

Przypisywanie inicjatyw

Inicjatywy to kolekcje zasad. Istnieją trzy inicjatywy dotyczące ustawień diagnostyki usługi Azure Monitor:

• Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w usłudze Event Hubs
• Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w usłudze Log Analytics
• Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w magazynie

W tym przykładzie przypisujemy inicjatywę wysyłania dzienników inspekcji do obszaru roboczego usługi Log Analytics.

Witryna Azure Portal

1. Na stronie Definicje zasad wybierz swój zakres.

2. Wybierz pozycję Inicjatywa na liście rozwijanej Typ definicji .

3. Wybierz pozycję Monitorowanie na liście rozwijanej Kategoria .

4. Wprowadź inspekcję w polu Wyszukaj .

5. Wybierz pozycję Włącz rejestrowanie zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w ramach inicjatywy usługi Log Analytics .

6. Na poniższej stronie wybierz pozycję Przypisz

7. Na karcie Podstawy na stronie Przypisywanie inicjatywy wybierz zakres , do którego ma zostać zastosowana inicjatywa.

8. Wprowadź nazwę w polu Nazwa przypisania .

9. Wybierz kartę Parametry .

   Parametry zawierają parametry zdefiniowane w zasadach. W takim przypadku musimy wybrać obszar roboczy usługi Log Analytics, do którego chcemy wysłać dzienniki. Aby uzyskać więcej informacji na temat poszczególnych parametrów dla każdej zasady, zobacz Parametry specyficzne dla zasad.

10. Wybierz obszar roboczy usługi Log Analytics , do który chcesz wysłać dzienniki inspekcji.

11. Wybierz pozycję Przejrzyj i utwórz , a następnie utwórz

Aby sprawdzić, czy przypisanie zasad lub inicjatywy działa, utwórz zasób w zakresie subskrypcji lub grupy zasobów zdefiniowanym w przypisaniu zasad.

Po 10 minutach wybierz stronę Ustawienia diagnostyki dla zasobu. Ustawienie diagnostyczne zostanie wyświetlone na liście z domyślną nazwą ustawioną PrzezPolicy-LogAnalytics i nazwą obszaru roboczego skonfigurowanego w zasadach.

Zmień nazwę domyślną na karcie Parametry na stronie Przypisz inicjatywę lub zasady, usuwając zaznaczenie pola wyboru Pokaż tylko parametry, które wymagają wprowadzania lub przeglądania .

Program PowerShell

1. Konfigurowanie zmiennych środowiskowych

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Pobierz definicję inicjatywy. W tym przykładzie użyjemy funkcji Initiative Enable audit group resource logging for supported resources to ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772d5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Ustaw nazwę przypisania i skonfiguruj parametry. W przypadku tej inicjatywy parametry obejmują identyfikator obszaru roboczego usługi Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Przypisywanie inicjatywy przy użyciu parametrów

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor Przypisz rolę do przypisanej przez system tożsamości zarządzanej. W przypadku innych inicjatyw sprawdź, które role są wymagane.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Skanuj pod kątem zgodności z zasadami. Powrót Start-AzPolicyComplianceScan polecenia trwa kilka minut

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Pobieranie listy zasobów do skorygowania i wymaganych parametrów przez wywołanie metody Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Dla każdego typu zasobu z niezgodnymi zasobami uruchom zadanie korygowania.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Sprawdź stan zgodności po zakończeniu zadań korygowania.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Szczegóły przypisania zasad można uzyskać przy użyciu następującego polecenia:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

Interfejs wiersza polecenia

1. Zaloguj się do konta platformy Azure przy użyciu az login polecenia .

2. Wybierz subskrypcję, w której chcesz zastosować inicjatywę zasad przy użyciu az account set polecenia .

3. Przypisz inicjatywę przy użyciu polecenia az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Na przykład:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Przypisywanie wymaganej roli do tożsamości zarządzanej przez system

   Znajdź role do przypisania w dowolnej definicji zasad w inicjatywie, wyszukując definicję roleDefinitionIds, na przykład:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Przypisz wymaganą rolę przy użyciu polecenia az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Na przykład:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Utwórz zadania korygowania dla zasad w inicjatywie.

   Zadania korygowania są tworzone dla poszczególnych zasad. Każde zadanie jest przeznaczone dla określonego definition-reference-idelementu określonego w inicjatywie jako policyDefinitionReferenceId. Aby znaleźć definition-reference-id parametr, użyj następującego polecenia:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Korygowanie zasobów przy użyciu polecenia az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Na przykład:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Aby utworzyć zadanie korygowania dla wszystkich zasad w inicjatywie, użyj następującego przykładu:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Typowe parametry

W poniższej tabeli opisano typowe parametry dla każdego zestawu zasad.

Parametr	Opis	Prawidłowe wartości	Domyślny
efekt	Włączanie lub wyłączanie wykonywania zasad	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	Nazwa ustawienia diagnostycznego		setByPolicy-LogAnalytics
categoryGroup	Grupa kategorii diagnostycznych	Brak Inspekcji wszystkie dzienniki	Inspekcji

Parametry specyficzne dla zasad

Parametry zasad usługi Log Analytics

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics.

Parametr	Opis	Prawidłowe wartości	Domyślny
resourceLocationList	Lista lokalizacji zasobów do wysyłania dzienników do pobliskiej usługi Log Analytics. Wyrażenie "*" wybiera wszystkie lokalizacje	Obsługiwane lokalizacje	*
logAnalytics	Obszar roboczy usługi Log Analytics

Parametry zasad usługi Event Hubs

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń.

Parametr	Opis	Prawidłowe wartości	Domyślny
resourceLocation	Lokalizacja zasobu musi być tą samą lokalizacją co przestrzeń nazw centrum zdarzeń	Obsługiwane lokalizacje
eventHubAuthorizationRuleId	Identyfikator reguły autoryzacji centrum zdarzeń. Reguła autoryzacji jest na poziomie przestrzeni nazw centrum zdarzeń. Na przykład /subscriptions/{identyfikator subskrypcji}/resourceGroups/{grupa zasobów}/providers/Microsoft.EventHub/namespaces/{przestrzeń nazw centrum zdarzeń}/authorizationrules/{authorization rule}
eventHubName	Nazwa centrum zdarzeń		Monitorowanie

Parametry zasad konta magazynu

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu.

Parametr	Opis	Prawidłowe wartości	Domyślny
resourceLocation	Lokalizacja zasobu musi znajdować się w tej samej lokalizacji co konto magazynu	Obsługiwane lokalizacje
storageAccount	Identyfikator zasobu konta magazynu

Obsługiwane zasoby

Dla następujących zasobów istnieją wbudowane zasady dzienników inspekcji dla obszarów roboczych usługi Log Analytics, usługi Event Hubs i kont magazynu:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/rejestry
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/przestrzenie nazw
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/przestrzenie nazw
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Następne kroki

• Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu Azure Policy
• Azure Policy wbudowane definicje dla usługi Azure Monitor
• Przegląd zasad platformy Azure
• Usługa Azure Enterprise Policy jako kod