Tutorial: Crie uma atribuição de política e identifique recursos não conformes

Você pode usar a Política do Azure para auditar o estado de seus servidores habilitados para Arco do Azure para garantir que eles estejam em conformidade com as políticas de configuração da máquina.

Este tutorial orienta você pelo processo de criação e atribuição de uma política que identifica quais dos seus servidores habilitados para Azure Arc não têm o Microsoft Defender for Servers habilitado.

Este tutorial ensina-te como:

• Criar uma atribuição de política e atribuir uma definição a ela
• Identificar recursos que não estão em conformidade com a nova política
• Remova a política de recursos não compatíveis

Prerequisites

• Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

• O módulo Azure PowerShell deve estar instalado no seu dispositivo se optar por usar este método de linha de comandos. Para saber mais, veja Como instalar o Azure PowerShell.

Criar uma atribuição de política

Portal

Utilize o procedimento seguinte para criar uma atribuição de política e atribuir a definição de política Azure Defender for servers should be enabled.

1. No topo do portal Azure, pesquise e selecione Política.

2. No menu de serviço, expanda Autoria e depois selecione Atribuições. Uma atribuição é uma política designada para ocorrer dentro de um escopo específico.

3. Selecione política de Atribuição no topo do painel de Atribuições .

   

4. Na página Atribuir Política, em Âmbito, selecione o ícone de reticências (...) e selecione um grupo de gestão ou uma assinatura. Opcionalmente, selecione um grupo de recursos. O escopo determina em quais recursos ou agrupamento de recursos a atribuição de política será imposta. Em seguida, escolha Selecionar na parte inferior do painel Escopo.

5. Os recursos podem ser excluídos com base no Âmbito. As Exclusões começam num nível inferior ao nível do Âmbito. As Exclusões são opcionais. Por isso, deixe-as em branco por enquanto.

6. Em Básicos, selecione a elipse de definição de Política (...) para abrir a lista de definições disponíveis. A Azure Policy vem com muitas definições de políticas incorporadas que pode usar, tais como:

   • Impor a etiqueta e o seu valor
   • Aplicar a etiqueta e o seu valor
   • Herdar uma tag do grupo de recursos se faltar

   Para uma lista parcial de políticas integradas disponíveis, veja amostras de políticas do Azure.

7. Procura na lista de definições de políticas para encontrar a definição Azure Defender para servidores deve estar ativado. Escolha essa política e selecione Adicionar.

8. O Nome da atribuição é automaticamente preenchido com o nome da política que selecionou, mas pode alterá-lo. Para este exemplo, deixe o nome da política como está e não altere nenhuma das outras opções na página.

9. Para este exemplo, não precisamos alterar qualquer configuração nas outras abas. Selecione Rever + criar para rever a sua nova atribuição de política, depois selecione Criar.

Azure PowerShell

Configura as tuas variáveis para a apólice que queres atribuir. O comando seguinte recupera o ID de definição da política e atribui a política desejada. Substitua a informação pelos teus valores reais.

# Variables
$assignmentName = "myPolicyAssignment"
$policyDefinitionName = "Azure Defender for servers should be enabled"
$scope = "/subscriptions/<your-subscription-id>/resourceGroups/<resource-group-name>"

# Get the policy definition ID
$policy = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq $policyDefinitionName }

# Assign the policy
New-AzPolicyAssignment -Name $assignmentName -PolicyDefinitionId $policy.PolicyDefinitionId -Scope $scope

Também pode executar o seguinte comando para mostrar uma lista das políticas disponíveis pelo nome da política.

Get-AzPolicyDefinition | Sort-Object DisplayName

Configura as tuas variáveis para a apólice que queres atribuir. O comando seguinte recupera o ID de definição da política e atribui a política desejada. Substitua a informação pelos teus valores reais.

# Variables
assignmentName="myPolicyAssignment" \
policyDefinitionName="Azure Defender for servers should be enabled" \
scope="/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"

# Get the policy definition ID (filter by displayName)
policyDefinitionId=$(az policy definition list \
    --query "[?displayName=='$policyDefinitionName'].id | [0]" -o tsv)

# Assign the policy
az policy assignment create \
    --name $assignmentName \
    --policy $policyDefinitionId \
    --scope $scope

Também pode executar o seguinte comando para mostrar uma lista das políticas disponíveis pelo nome da política.

az policy definition list --query "sort_by([], &displayName)[].{DisplayName:displayName, Name:name}" -o table

Agora você está pronto para identificar recursos não compatíveis para entender o estado de conformidade do seu ambiente.

Identificar recursos não compatíveis

1. No menu de serviço da Política do Azure, selecione Conformidade.

2. Localize a atribuição de política Azure Defender para servidores deve ser ativada que você criou.

   

   Quaisquer recursos existentes que não estejam em conformidade com a nova atribuição apresentam como Não conformes no estado de Conformidade.

Quando uma condição é avaliada em relação aos recursos existentes e considerada verdadeira, esses recursos são marcados como não compatíveis com a política. A tabela a seguir mostra como diferentes efeitos de política funcionam com a avaliação de condições para o estado de conformidade resultante. Embora você não veja a lógica de avaliação no portal do Azure, os resultados do estado de conformidade são mostrados. O resultado do estado de conformidade é Compatível ou Não Conforme.

Estado do recurso	Effect	Avaliação das políticas	Estado de conformidade
Exists	Negar, Auditoria, Anexar*, ImplementarSeNãoExistir*, AuditarSeNãoExistir*	True	Non-compliant
Exists	Negar, Auditoria, Anexar*, ImplementarSeNãoExistir*, AuditarSeNãoExistir*	False	Compliant
New	Auditar, AuditarSeNãoExistir*	True	Non-compliant
New	Auditar, AuditarSeNãoExistir*	False	Compliant

* Os efeitos Append, DeployIfNotExist e AuditIfNotExist exigem que a IF instrução seja TRUE. Os efeitos também exigem que a condição de existência FALSE não esteja em conformidade. Quando TRUE, a condição IF desencadeia a avaliação da condição de existência para os recursos relacionados.

Para saber mais, consulte Estados de conformidade da Política do Azure.

Limpeza de recursos

Para remover a tarefa que criou, siga estes passos.

Portal

1. No menu de serviço, expanda Autoria e depois selecione Atribuições

   Alternativamente, no menu de serviço, selecione Conformidade.

2. Localize a atribuição de política Azure Defender para servidores deve ser ativada que você criou.

3. Clique com o botão direito na atribuição da política, selecione Apagar atribuição e depois selecione Sim.

Azure PowerShell

1. Se souber o nome e o âmbito da atribuição, execute o seguinte comando:

   Remove-AzPolicyAssignment `
     -Name "myPolicyAssignment" `
     -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
   

2. Se não souber o nome da atribuição, execute o seguinte comando para a encontrar primeiro:

   Get-AzPolicyAssignment | Where-Object { $_.Properties.DisplayName -eq "Azure Defender for servers should be enabled" }
   

   Depois de descobrir o nome da tarefa, remova-o com o seguinte comando:

   Remove-AzPolicyAssignment -Name "<myPolicyAssignment>"
   

1. Se souber o nome e o âmbito da atribuição, execute o seguinte comando:

   az policy assignment delete \
       --name "myPolicyAssignment" \
       --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
   

2. Se não souber o nome da atribuição, execute o seguinte comando para a encontrar primeiro:

   az policy assignment list \
       --query "[?displayName=='Azure Defender for servers should be enabled']"
   

   Depois de descobrir o nome da tarefa, remova-o com o seguinte comando:

   az policy assignment delete --name "<myPolicyAssignment>"
   

Próximos passos

Neste tutorial, você atribuiu uma definição de política a um âmbito e avaliou seu relatório de conformidade. A definição da política valida que todos os recursos no âmbito estão em conformidade e identifica quais não estão. Agora está pronto para monitorizar a máquina servidora habilitada para Azure Arc, ativando insights de máquinas virtuais (VM).

Para aprender a monitorizar e visualizar o desempenho, processos em execução e dependências da sua máquina, continue para o tutorial:

Ativar informações de VM