As políticas e as iniciativas de política fornecem um método simples para habilitar o registro em log em escala por meio de configurações de diagnóstico para o Azure Monitor. Usando uma iniciativa de política, você pode ativar o log de auditoria para todos os recursos com suporte em seu ambiente do Azure.
Habilite os logs de recursos para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram.
Atribua políticas para habilitar logs de recursos e enviá-los para destinos de acordo com suas necessidades. Envie logs para hubs de eventos de sistemas SIEM de terceiros, permitindo operações de segurança contínuas. Envie logs para contas de armazenamento para armazenamento de longo prazo ou cumprimento da conformidade regulatória.
Existe um conjunto de políticas e iniciativas internas para direcionar logs de recursos para workspaces do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas permitem o log de auditoria, enviando logs pertencentes ao grupo de categorias de log de auditoria para um hub de eventos, workspace do Log Analytics ou Conta de armazenamento. As políticas são effectDeployIfNotExists, que implanta a política como padrão se não houver outras configurações definidas.
Implantar políticas.
Implantar as políticas e iniciativas usando o Portal, a CLI, o PowerShell ou os modelos de Gerenciamento de Recursos do Azure
Atribua a função necessária à identidade criada para a atribuição de política.
Localize a função na definição de política pesquisando roleDefinitionIds
Para aplicar uma política usando o PowerShell, use os seguintes comandos:
Configure seu ambiente.
Selecione sua assinatura e defina seu grupo de recursos
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Obtenha a definição de política e configure os parâmetros da política. No exemplo abaixo, atribuímos a política para enviar logs keyVault a um workspace do Log Analytics
A política fica visível nas configurações de diagnóstico dos recursos após aproximadamente 30 minutos.
Tarefas de correção
As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de correção. As tarefas de correção trazem recursos em conformidade com uma política.
As tarefas de correção atuam para políticas específicas. Para iniciativas que contêm várias políticas, crie uma tarefa de correção para cada política na iniciativa em que você tem recursos que deseja colocar em conformidade.
Defina tarefas de correção quando você atribuir a política pela primeira vez ou em qualquer estágio após a atribuição.
Para criar uma tarefa de correção para políticas durante a atribuição de política, selecione a guia Correção na página Atribuir política e marque a caixa de seleção Criar tarefa de correção.
Para criar uma tarefa de correção após a atribuição da política, selecione sua política atribuída na lista na página Atribuições de Política.
Selecione Remediar.
Acompanhe o status da tarefa de correção na guia Tarefas de correção da página Correção de Política.
Na página Definições de política, selecione seu escopo.
Selecione Iniciativa na lista suspensa Tipo de definição.
Selecione Monitoramento na lista suspensa Categoria.
Insira auditoria no campo de Busca.
Selecione a iniciativa Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs.
Na página a seguir, selecione Atribuir
Na guia Noções básicas da página Atribuir iniciativa, selecione um Escopo ao qual você deseja que a iniciativa se aplique.
Insira um nome no campo Nome da atribuição.
Selecione a guia Parâmetros.
Os Parâmetros contêm os parâmetros definidos na política. Nesse caso, precisamos selecionar o workspace do Log Analytics para o qual desejamos enviar os logs. Para obter mais informações sobre os parâmetros individuais de cada política, consulte Parâmetros específicos da política.
Selecione o workspace do Log Analytics para o qual enviar os logs de auditoria.
Selecione Examinar + criar e, em seguida, Criar
Para verificar se sua política ou atribuição de iniciativa está funcionando, crie um recurso no escopo da assinatura ou do grupo de recursos que você definiu em sua atribuição de política.
Após 10 minutos, selecione a página Configurações de diagnóstico do recurso.
Sua configuração de diagnóstico aparece na lista com o nome padrão setByPolicy-LogAnalytics e o nome do workspace que você configurou na política.
Altere o nome padrão na guia Parâmetros da páginaAtribuir iniciativa ou política desmarcando a caixa de seleção Mostrar somente parâmetros que precisam de entrada ou revisão.
Defina suas variáveis de ambiente
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Obter a definição da iniciativa. Neste exemplo, usaremos a iniciativa Habilitar o log de recursos do grupo de categoria de auditoria para recursos com suporte para ` Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Atribua a função necessária à identidade gerenciada pelo sistema
Localize as funções a serem atribuídas em qualquer uma das definições de política na iniciativa pesquisando a definição de roleDefinitionIds, por exemplo:
Crie tarefas de correção para as políticas na iniciativa.
As tarefas de correção são criadas por política. Cada tarefa é para um definition-reference-id específico, especificado na iniciativa como policyDefinitionReferenceId. Para encontrar o parâmetro definition-reference-id, use o seguinte comando:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Para criar uma tarefa de correção para todas as políticas na iniciativa, use o seguinte exemplo:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Parâmetros comuns
A tabela a seguir descreve os parâmetros comuns para cada conjunto de políticas.
Parâmetro
Descrição
Valores válidos
Padrão
efeito
Habilitar ou desabilitar a execução da política
DeployIfNotExists, AuditIfNotExists, Desabilitado
DeployIfNotExists
diagnosticSettingName
Nome da configuração de diagnóstico
setByPolicy-LogAnalytics
categoryGroup
Grupo de categorias de diagnóstico
none, audit, AllLogs
auditoria
Parâmetros específicos da política
Parâmetros de política do Log Analytics
Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics.
Parâmetro
Descrição
Valores válidos
Padrão
resourceLocationList
Lista de Localização do Recurso para enviar logs para o Log Analytics próximo. "*" seleciona todos os locais
Locais com suporte
*
logAnalytics
Workspace do Log Analytics
Parâmetros de política dos Hubs de Eventos
Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos.
Parâmetro
Descrição
Valores válidos
Padrão
resourceLocation
O Local do Recurso deve ser o mesmo local que o namespace do Hub de Eventos
Locais com suporte
eventHubAuthorizationRuleId
ID da Regra de Autorização do Hub de Eventos. A regra de autorização está no nível do namespace do Hub de Eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName
Nome do Hub de Eventos
Monitoramento
Parâmetros de política das Contas de Armazenamento
Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento.
Parâmetro
Descrição
Valores válidos
Padrão
resourceLocation
O Local do Recurso deve estar no mesmo local que a Conta de Armazenamento
Locais com suporte
storageAccount
ResourceId da Conta de Armazenamento
Recursos com suporte
Políticas internas de logs de auditoria para workspaces do Log Analytics, Hubs de Eventos e Contas de Armazenamento existem para os seguintes recursos: