Políticas internas do Azure Monitor

As políticas e as iniciativas de política fornecem um método simples para habilitar o registro em log em escala por meio de configurações de diagnóstico para o Azure Monitor. Usando uma iniciativa de política, você pode ativar o log de auditoria para todos os recursos com suporte em seu ambiente do Azure.

Habilite os logs de recursos para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Atribua políticas para habilitar logs de recursos e enviá-los para destinos de acordo com suas necessidades. Envie logs para hubs de eventos de sistemas SIEM de terceiros, permitindo operações de segurança contínuas. Envie logs para contas de armazenamento para armazenamento de longo prazo ou cumprimento da conformidade regulatória.

Existe um conjunto de políticas e iniciativas internas para direcionar logs de recursos para workspaces do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas permitem o log de auditoria, enviando logs pertencentes ao grupo de categorias de log de auditoria para um hub de eventos, workspace do Log Analytics ou Conta de armazenamento. As políticas são effectDeployIfNotExists, que implanta a política como padrão se não houver outras configurações definidas.

Implantar políticas.

Implantar as políticas e iniciativas usando o Portal, a CLI, o PowerShell ou os modelos de Gerenciamento de Recursos do Azure

Azure portal

As etapas a seguir mostram como aplicar a política de envio de logs de auditoria para cofres de chaves para um workspace do Log Analytics.

1. Na página Política, selecione Definições.

2. Selecione seu escopo. Você pode aplicar bloqueios a uma assinatura, a um grupo de recursos ou a um recurso individual.

3. Na lista suspensa Tipo de definição, selecione Política.

4. Selecione Monitoramento na lista suspensa Categoria

5. Insira keyvault no campo de Busca.

6. Selecione a política Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para Log Analytics,

7. Na página de definição de política, selecione Atribuir

8. Selecione a guia Parâmetros .

9. Selecione o Workspace do Log Analytics para o qual você deseja enviar os logs de auditoria.

10. Selecione a guia Correção.

11. Na guia correção, selecione a política keyvault na lista suspensa Política para corrigir.

12. Marque a caixa de seleção Criar uma Identidade Gerenciada.

13. Em Tipo de Identidade Gerenciada, selecione Identidade Gerenciada atribuída pelo sistema.

14. Selecione Examinar + Criar e Criar.

CLI

Para aplicar uma política usando a CLI, use os seguintes comandos:

1. Criar uma atribuição de política usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por exemplo, para aplicar a política de envio de logs de auditoria para um workspace do Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Atribua a função necessária à identidade criada para a atribuição de política. Localize a função na definição de política pesquisando roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Dispare uma verificação para localizar recursos existentes usando az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Crie uma tarefa de correção para aplicar a política aos recursos existentes usando az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por exemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Para obter mais informações sobre a atribuição de política usando a CLI, consulte Referência da CLI do Azure – atribuição de política az

PowerShell

Para aplicar uma política usando o PowerShell, use os seguintes comandos:

1. Configure seu ambiente. Selecione sua assinatura e defina seu grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenha a definição de política e configure os parâmetros da política. No exemplo abaixo, atribuímos a política para enviar logs keyVault a um workspace do Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Atribuir a política

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Atribua a função ou funções necessárias à Identidade Gerenciada atribuída pelo sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Verifique se há conformidade e crie uma tarefa de correção para forçar a conformidade dos recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Verificar conformidade

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

A política fica visível nas configurações de diagnóstico dos recursos após aproximadamente 30 minutos.

Tarefas de correção

As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de correção. As tarefas de correção trazem recursos em conformidade com uma política.

As tarefas de correção atuam para políticas específicas. Para iniciativas que contêm várias políticas, crie uma tarefa de correção para cada política na iniciativa em que você tem recursos que deseja colocar em conformidade.

Defina tarefas de correção quando você atribuir a política pela primeira vez ou em qualquer estágio após a atribuição.

Para criar uma tarefa de correção para políticas durante a atribuição de política, selecione a guia Correção na página Atribuir política e marque a caixa de seleção Criar tarefa de correção.

Para criar uma tarefa de correção após a atribuição da política, selecione sua política atribuída na lista na página Atribuições de Política.

Selecione Remediar. Acompanhe o status da tarefa de correção na guia Tarefas de correção da página Correção de Política.

Para obter mais informações sobre tarefas de correção, consulte Corrigir recursos não compatíveis

Atribuir iniciativas

Iniciativas são coleções de políticas. Há três iniciativas para as configurações de Diagnóstico do Azure Monitor:

• Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte nos Hubs de Eventos
• Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs
• Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte no armazenamento

Neste exemplo, atribuímos uma iniciativa para enviar logs de auditoria para um workspace do Log Analytics.

Azure portal

1. Na página Definições de política, selecione seu escopo.

2. Selecione Iniciativa na lista suspensa Tipo de definição.

3. Selecione Monitoramento na lista suspensa Categoria.

4. Insira auditoria no campo de Busca.

5. Selecione a iniciativa Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs.

6. Na página a seguir, selecione Atribuir

7. Na guia Noções básicas da página Atribuir iniciativa, selecione um Escopo ao qual você deseja que a iniciativa se aplique.

8. Insira um nome no campo Nome da atribuição.

9. Selecione a guia Parâmetros.

   Os Parâmetros contêm os parâmetros definidos na política. Nesse caso, precisamos selecionar o workspace do Log Analytics para o qual desejamos enviar os logs. Para obter mais informações sobre os parâmetros individuais de cada política, consulte Parâmetros específicos da política.

10. Selecione o workspace do Log Analytics para o qual enviar os logs de auditoria.

11. Selecione Examinar + criar e, em seguida, Criar

Para verificar se sua política ou atribuição de iniciativa está funcionando, crie um recurso no escopo da assinatura ou do grupo de recursos que você definiu em sua atribuição de política.

Após 10 minutos, selecione a página Configurações de diagnóstico do recurso. Sua configuração de diagnóstico aparece na lista com o nome padrão setByPolicy-LogAnalytics e o nome do workspace que você configurou na política.

Altere o nome padrão na guia Parâmetros da páginaAtribuir iniciativa ou política desmarcando a caixa de seleção Mostrar somente parâmetros que precisam de entrada ou revisão.

PowerShell

1. Defina suas variáveis de ambiente

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obter a definição da iniciativa. Neste exemplo, usaremos a iniciativa Habilitar o log de recursos do grupo de categoria de auditoria para recursos com suporte para ` Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Defina um nome de atribuição e configure parâmetros. Para essa iniciativa, os parâmetros incluem a ID do workspace do Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Atribua a iniciativa usando os parâmetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Atribua a função Contributor à identidade gerenciada atribuída pelo sistema. Para outras iniciativas, verifique quais funções são necessárias.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Verifique se há conformidade com a política. O comando Start-AzPolicyComplianceScan leva alguns minutos para retornar

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtenha uma lista de recursos para corrigir e os parâmetros necessários chamando Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso com recursos não compatíveis, inicie uma tarefa de correção.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Verifique o estado de conformidade quando as tarefas de correção forem concluídas.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Você pode obter os detalhes da atribuição de política usando o seguinte comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Entre em sua conta do Azure usando o comando az login.

2. Selecione a assinatura na qual você deseja aplicar a iniciativa de política usando o comando az account set.

3. Atribua a iniciativa usando az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por exemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Atribua a função necessária à identidade gerenciada pelo sistema

   Localize as funções a serem atribuídas em qualquer uma das definições de política na iniciativa pesquisando a definição de roleDefinitionIds, por exemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Crie tarefas de correção para as políticas na iniciativa.

   As tarefas de correção são criadas por política. Cada tarefa é para um definition-reference-id específico, especificado na iniciativa como policyDefinitionReferenceId. Para encontrar o parâmetro definition-reference-id, use o seguinte comando:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corrija os recursos usando az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por exemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para criar uma tarefa de correção para todas as políticas na iniciativa, use o seguinte exemplo:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parâmetros comuns

A tabela a seguir descreve os parâmetros comuns para cada conjunto de políticas.

Parâmetro	Descrição	Valores válidos	Padrão
efeito	Habilitar ou desabilitar a execução da política	DeployIfNotExists, AuditIfNotExists, Desabilitado	DeployIfNotExists
diagnosticSettingName	Nome da configuração de diagnóstico		setByPolicy-LogAnalytics
categoryGroup	Grupo de categorias de diagnóstico	none, audit, AllLogs	auditoria

Parâmetros específicos da política

Parâmetros de política do Log Analytics

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocationList	Lista de Localização do Recurso para enviar logs para o Log Analytics próximo. "*" seleciona todos os locais	Locais com suporte	*
logAnalytics	Workspace do Log Analytics

Parâmetros de política dos Hubs de Eventos

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocation	O Local do Recurso deve ser o mesmo local que o namespace do Hub de Eventos	Locais com suporte
eventHubAuthorizationRuleId	ID da Regra de Autorização do Hub de Eventos. A regra de autorização está no nível do namespace do Hub de Eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nome do Hub de Eventos		Monitoramento

Parâmetros de política das Contas de Armazenamento

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocation	O Local do Recurso deve estar no mesmo local que a Conta de Armazenamento	Locais com suporte
storageAccount	ResourceId da Conta de Armazenamento

Recursos com suporte

Políticas internas de logs de auditoria para workspaces do Log Analytics, Hubs de Eventos e Contas de Armazenamento existem para os seguintes recursos:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Próximas etapas

• Criar configurações de diagnóstico em escala com o Azure Policy
• Definições internas do Azure Policy para o Azure Monitor
• Visão geral da política do Azure
• Azure Enterprise Policy como código