Inicjatywy zasad i zasad zapewniają prostą metodę włączania rejestrowania na dużą skalę za pośrednictwem ustawień diagnostycznych usługi Azure Monitor. Korzystając z inicjatywy zasad, można włączyć rejestrowanie inspekcji dla wszystkich obsługiwanych zasobów w środowisku platformy Azure.
Włącz dzienniki zasobów, aby śledzić działania i zdarzenia, które mają miejsce w zasobach, oraz zapewnić widoczność i wgląd w wszelkie zmiany, które wystąpiły.
Przypisz zasady, aby włączyć dzienniki zasobów i wysyłać je do miejsc docelowych zgodnie z potrzebami. Wysyłanie dzienników do centrów zdarzeń dla systemów SIEM innych firm, co umożliwia ciągłe operacje zabezpieczeń. Wysyłanie dzienników do kont magazynu w celu dłuższego przechowywania lub realizacji zgodności z przepisami.
Istnieje zestaw wbudowanych zasad i inicjatyw bezpośrednich dzienników zasobów w obszarach roboczych usługi Log Analytics, usłudze Event Hubs i kontach magazynu. Zasady umożliwiają rejestrowanie inspekcji, wysyłanie dzienników należących do grupy kategorii dziennika inspekcji do centrum zdarzeń, obszaru roboczego usługi Log Analytics lub konta magazynu. effect Zasady to DeployIfNotExists, która wdraża zasady jako domyślne, jeśli nie zdefiniowano innych ustawień.
Wdrażanie zasad.
Wdrażanie zasad i inicjatyw przy użyciu portalu, interfejsu wiersza polecenia, programu PowerShell lub szablonów usługi Azure Resource Management
W poniższych krokach pokazano, jak zastosować zasady w celu wysyłania dzienników inspekcji do magazynu kluczy do obszaru roboczego usługi Log Analytics.
Na stronie Zasady wybierz pozycję Definicje.
Wybierz zakres. Zasady można zastosować do całej subskrypcji, grupy zasobów lub pojedynczego zasobu.
Z listy rozwijanej Typ definicji wybierz pozycję Zasady.
Wybierz pozycję Monitorowanie z listy rozwijanej Kategoria
Wprowadź ciąg keyvault w polu Wyszukaj .
Wybierz pozycję Włącz rejestrowanie według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) do zasad usługi Log Analytics .
Na stronie definicji zasad wybierz pozycję Przypisz
Wybierz kartę Parametry .
Wybierz obszar roboczy usługi Log Analytics, do którego chcesz wysłać dzienniki inspekcji.
Wybierz kartę Korygowanie .
Na karcie Korygowanie wybierz zasady magazynu kluczy z listy rozwijanej Zasady, aby skorygować .
Zaznacz pole wyboru Utwórz tożsamość zarządzaną .
W obszarze Typ tożsamości zarządzanej wybierz pozycję Tożsamość zarządzana przypisana przez system.
Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz .
Aby zastosować zasady przy użyciu interfejsu wiersza polecenia, użyj następujących poleceń:
Aby zastosować zasady przy użyciu programu PowerShell, użyj następujących poleceń:
Skonfiguruj środowisko.
Wybierz subskrypcję i ustaw grupę zasobów
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Pobierz definicję zasad i skonfiguruj parametry zasad. W poniższym przykładzie przypisujemy zasady do wysyłania dzienników magazynu kluczy do obszaru roboczego usługi Log Analytics
Zasady są widoczne w ustawieniach diagnostycznych zasobów po około 30 minutach.
Zadania korygowania
Zasady są stosowane do nowych zasobów podczas ich tworzenia. Aby zastosować zasady do istniejących zasobów, utwórz zadanie korygowania. Zadania korygowania mają zgodność zasobów z zasadami.
Zadania korygowania działają dla określonych zasad. W przypadku inicjatyw zawierających wiele zasad utwórz zadanie korygowania dla każdej zasady w inicjatywie, w której masz zasoby, które chcesz zapewnić zgodność.
Zdefiniuj zadania korygowania podczas pierwszego przypisywania zasad lub na dowolnym etapie po przypisaniu.
Aby utworzyć zadanie korygowania zasad podczas przypisywania zasad, wybierz kartę Korygowanie na stronie Przypisywanie zasad i zaznacz pole wyboru Utwórz zadanie korygowania .
Aby utworzyć zadanie korygowania po przypisaniu zasad, wybierz przypisane zasady z listy na stronie Przypisania zasad.
Wybierz pozycję Koryguj.
Śledź stan zadania korygowania na karcie Zadania korygowania na stronie Korygowanie zasad.
Wybierz pozycję Inicjatywa na liście rozwijanej Typ definicji .
Wybierz pozycję Monitorowanie na liście rozwijanej Kategoria .
Wprowadź inspekcję w polu Wyszukaj .
Wybierz pozycję Włącz rejestrowanie zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w ramach inicjatywy usługi Log Analytics .
Na poniższej stronie wybierz pozycję Przypisz
Na karcie Podstawy na stronie Przypisywanie inicjatywy wybierz zakres , do którego ma zostać zastosowana inicjatywa.
Wprowadź nazwę w polu Nazwa przypisania .
Wybierz kartę Parametry .
Parametry zawierają parametry zdefiniowane w zasadach. W takim przypadku musimy wybrać obszar roboczy usługi Log Analytics, do którego chcemy wysłać dzienniki. Aby uzyskać więcej informacji na temat poszczególnych parametrów dla każdej zasady, zobacz Parametry specyficzne dla zasad.
Wybierz obszar roboczy usługi Log Analytics , do który chcesz wysłać dzienniki inspekcji.
Wybierz pozycję Przejrzyj i utwórz , a następnie utwórz
Aby sprawdzić, czy przypisanie zasad lub inicjatywy działa, utwórz zasób w zakresie subskrypcji lub grupy zasobów zdefiniowanym w przypisaniu zasad.
Po 10 minutach wybierz stronę Ustawienia diagnostyki dla zasobu.
Ustawienie diagnostyczne zostanie wyświetlone na liście z domyślną nazwą ustawioną PrzezPolicy-LogAnalytics i nazwą obszaru roboczego skonfigurowanego w zasadach.
Zmień nazwę domyślną na karcie Parametry na stronie Przypisz inicjatywę lub zasady, usuwając zaznaczenie pola wyboru Pokaż tylko parametry, które wymagają wprowadzania lub przeglądania .
Konfigurowanie zmiennych środowiskowych
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Pobierz definicję inicjatywy. W tym przykładzie użyjemy funkcji Initiative Enable audit group resource logging for supported resources to ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772d5e290a5"
Utwórz zadania korygowania dla zasad w inicjatywie.
Zadania korygowania są tworzone dla poszczególnych zasad. Każde zadanie jest przeznaczone dla określonego definition-reference-idelementu określonego w inicjatywie jako policyDefinitionReferenceId. Aby znaleźć definition-reference-id parametr, użyj następującego polecenia:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Aby utworzyć zadanie korygowania dla wszystkich zasad w inicjatywie, użyj następującego przykładu:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Typowe parametry
W poniższej tabeli opisano typowe parametry dla każdego zestawu zasad.
Parametr
Opis
Prawidłowe wartości
Domyślny
efekt
Włączanie lub wyłączanie wykonywania zasad
DeployIfNotExists, AuditIfNotExists, Disabled
DeployIfNotExists
diagnosticSettingName
Nazwa ustawienia diagnostycznego
setByPolicy-LogAnalytics
categoryGroup
Grupa kategorii diagnostycznych
Brak Inspekcji wszystkie dzienniki
Inspekcji
Parametry specyficzne dla zasad
Parametry zasad usługi Log Analytics
Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics.
Parametr
Opis
Prawidłowe wartości
Domyślny
resourceLocationList
Lista lokalizacji zasobów do wysyłania dzienników do pobliskiej usługi Log Analytics. Wyrażenie "*" wybiera wszystkie lokalizacje
Obsługiwane lokalizacje
*
logAnalytics
Obszar roboczy usługi Log Analytics
Parametry zasad usługi Event Hubs
Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń.
Parametr
Opis
Prawidłowe wartości
Domyślny
resourceLocation
Lokalizacja zasobu musi być tą samą lokalizacją co przestrzeń nazw centrum zdarzeń
Obsługiwane lokalizacje
eventHubAuthorizationRuleId
Identyfikator reguły autoryzacji centrum zdarzeń. Reguła autoryzacji jest na poziomie przestrzeni nazw centrum zdarzeń. Na przykład /subscriptions/{identyfikator subskrypcji}/resourceGroups/{grupa zasobów}/providers/Microsoft.EventHub/namespaces/{przestrzeń nazw centrum zdarzeń}/authorizationrules/{authorization rule}
eventHubName
Nazwa centrum zdarzeń
Monitorowanie
Parametry zasad konta magazynu
Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu.
Parametr
Opis
Prawidłowe wartości
Domyślny
resourceLocation
Lokalizacja zasobu musi znajdować się w tej samej lokalizacji co konto magazynu
Obsługiwane lokalizacje
storageAccount
Identyfikator zasobu konta magazynu
Obsługiwane zasoby
Dla następujących zasobów istnieją wbudowane zasady dzienników inspekcji dla obszarów roboczych usługi Log Analytics, usługi Event Hubs i kont magazynu: