Políticas incorporadas para o Azure Monitor

As políticas e iniciativas políticas fornecem um método simples para permitir o registo em escala através das definições de diagnóstico do Azure Monitor. Com uma iniciativa de política, pode ativar o registo de auditoria para todos os recursos suportados no seu ambiente do Azure.

Ative os registos de recursos para controlar atividades e eventos que ocorrem nos seus recursos e dar-lhe visibilidade e informações sobre quaisquer alterações que ocorram. Atribua políticas para ativar os registos de recursos e enviá-los para destinos de acordo com as suas necessidades. Envie registos para hubs de eventos para sistemas SIEM de terceiros, ativando operações de segurança contínuas. Enviar registos para contas de armazenamento de longo prazo ou o cumprimento da conformidade regulamentar.

Existe um conjunto de políticas e iniciativas incorporadas para direcionar os registos de recursos para Áreas de Trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas permitem o registo de auditoria, enviando registos pertencentes ao grupo de categorias de registo de auditoria para um hub de eventos, área de trabalho do Log Analytics ou Conta de Armazenamento. As políticas são effectDeployIfNotExists, que implementa a política como predefinição se não existirem outras definições definidas.

Implementar políticas.

Implementar as políticas e iniciativas com os modelos portal, CLI, PowerShell ou Azure Resource Management

Portal do Azure

Os passos seguintes mostram como aplicar a política para enviar registos de auditoria para cofres de chaves para uma área de trabalho de análise de registos.

1. Na página Política, selecione Definições.

2. Selecione o âmbito. Pode aplicar uma política a toda a subscrição, a um grupo de recursos ou a um recurso individual.

3. Na lista pendente Tipo de definição , selecione Política.

4. Selecione Monitorização na lista pendente Categoria

5. Introduza keyvault no campo Procurar .

6. Selecione a política Ativar o registo por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para a política do Log Analytics ,

7. Na página de definição de política, selecione Atribuir

8. Selecione o separador Parâmetros .

9. Selecione a Área de Trabalho do Log Analytics para a qual pretende enviar os registos de auditoria.

10. Selecione o separador Remediação .

11. No separador remediação, selecione a política keyvault na lista pendente Política para remediar .

12. Selecione a caixa de verificação Criar uma Identidade Gerida .

13. Em Tipo de Identidade Gerida, selecione Identidade Gerida atribuída pelo sistema.

14. Selecione Rever + criar e, em seguida, selecione Criar .

CLI

Para aplicar uma política com a CLI, utilize os seguintes comandos:

1. Crie uma atribuição de política com az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por exemplo, para aplicar a política para enviar registos de auditoria para uma área de trabalho do Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Atribua a função necessária à identidade criada para a atribuição de política. Localizar a função na definição de política ao procurar roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária com az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Acione uma análise para localizar recursos existentes com az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Crie uma tarefa de remediação para aplicar a política aos recursos existentes com az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por exemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Para obter mais informações sobre a atribuição de políticas com a CLI, veja Referência da CLI do Azure – atribuição de política az

PowerShell

Para aplicar uma política com o PowerShell, utilize os seguintes comandos:

1. Configure o seu ambiente. Selecione a sua subscrição e defina o seu grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenha a definição de política e configure os parâmetros da política. No exemplo abaixo, atribuímos a política para enviar registos keyVault para uma área de trabalho do Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Atribuir a política

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Atribuir a função ou funções necessárias à Identidade Gerida atribuída pelo sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Procure conformidade e, em seguida, crie uma tarefa de remediação para forçar a conformidade dos recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Verificar conformidade

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

A política é visível nas definições de diagnóstico dos recursos após aproximadamente 30 minutos.

Tarefas de remediação

As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de remediação. As tarefas de remediação levam os recursos à conformidade com uma política.

As tarefas de remediação atuam para políticas específicas. Para iniciativas que contenham múltiplas políticas, crie uma tarefa de remediação para cada política na iniciativa onde tem recursos que pretende que sejam compatíveis.

Defina tarefas de remediação quando atribuir a política pela primeira vez ou em qualquer fase após a atribuição.

Para criar uma tarefa de remediação para políticas durante a atribuição de políticas, selecione o separador Remediação na página Atribuir política e selecione a caixa de verificação Criar tarefa de remediação .

Para criar uma tarefa de remediação após a atribuição da política, selecione a política atribuída na lista na página Atribuições de Políticas.

Selecione Remediar. Controle o estado da tarefa de remediação no separador Tarefas de remediação da página Remediação de Políticas.

Para obter mais informações sobre tarefas de remediação, veja Remediar recursos não conformes

Atribuir iniciativas

As iniciativas são coleções de políticas. Existem três iniciativas para as definições de Diagnóstico do Azure Monitor:

• Ativar o registo de recursos do grupo de categorias de auditoria para recursos suportados nos Hubs de Eventos
• Ativar o registo de recursos do grupo de categorias de auditoria para recursos suportados no Log Analytics
• Ativar o registo de recursos do grupo de categorias de auditoria para recursos suportados no armazenamento

Neste exemplo, atribuímos uma iniciativa para enviar registos de auditoria para uma área de trabalho do Log Analytics.

Portal do Azure

1. Na página Definições da política, selecione o âmbito.

2. Selecione Iniciativa na lista pendente Tipo de definição .

3. Selecione Monitorização na lista pendente Categoria .

4. Introduza auditoria no campo Procurar .

5. Selecione a opção Ativar o registo de recursos do grupo de categorias de auditoria para recursos suportados para a iniciativa do Log Analytics .

6. Na página seguinte, selecione Atribuir

7. No separador Noções Básicas da página Atribuir iniciativa , selecione um Âmbito ao qual pretende que a iniciativa se aplique.

8. Introduza um nome no campo Nome da tarefa .

9. Selecione o separador Parâmetros .

   Os Parâmetros contêm os parâmetros definidos na política. Neste caso, temos de selecionar a área de trabalho do Log Analytics para a qual queremos enviar os registos. Para obter mais informações sobre os parâmetros individuais de cada política, veja Parâmetros específicos da política.

10. Selecione a área de trabalho do Log Analytics para onde enviar os registos de auditoria.

11. Selecione Rever + criar e, em seguida, Criar

Para verificar se a sua atribuição de política ou iniciativa está a funcionar, crie um recurso no âmbito da subscrição ou do grupo de recursos que definiu na atribuição de políticas.

Após 10 minutos, selecione a página Definições de diagnóstico do recurso. A definição de diagnóstico é apresentada na lista com o nome predefinido setByPolicy-LogAnalytics e o nome da área de trabalho que configurou na política.

Altere o nome predefinido no separador Parâmetros da página Atribuir iniciativa ou política ao desmarcar a caixa de verificação Mostrar apenas parâmetros que precisam de entrada ou revisão .

PowerShell

1. Configurar as variáveis de ambiente

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenha a definição de iniciativa. Neste exemplo, vamos utilizar o registo de recursos do grupo de categorias de auditoria Ativar Iniciativa para recursos suportados para " Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Defina um nome de atribuição e configure os parâmetros. Para esta iniciativa, os parâmetros incluem o ID da área de trabalho do Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Atribuir a iniciativa com os parâmetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Atribua a Contributor função à Identidade Gerida atribuída pelo sistema. Para outras iniciativas, verifique as funções necessárias.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Analise a conformidade da política. O Start-AzPolicyComplianceScan comando demora alguns minutos a regressar

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obter uma lista de recursos para remediar e os parâmetros necessários ao chamar Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso com recursos não conformes, inicie uma tarefa de remediação.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Verifique o estado de conformidade quando as tarefas de remediação estiverem concluídas.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Pode obter os detalhes da atribuição de políticas com o seguinte comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Inicie sessão na sua conta do Azure com o az login comando .

2. Selecione a subscrição onde pretende aplicar a iniciativa de política com o az account set comando .

3. Atribua a iniciativa com az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por exemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Atribuir a função necessária à identidade gerida do sistema

   Localize as funções a atribuir em qualquer uma das definições de política na iniciativa ao procurar na definição roleDefinitionIds, por exemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária com az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Crie tarefas de remediação para as políticas na iniciativa.

   As tarefas de remediação são criadas por política. Cada tarefa destina-se a um específico definition-reference-id, especificado na iniciativa como policyDefinitionReferenceId. Para localizar o definition-reference-id parâmetro, utilize o seguinte comando:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Remediar os recursos com az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por exemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para criar uma tarefa de remediação para todas as políticas na iniciativa, utilize o seguinte exemplo:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parâmetros comuns

A tabela seguinte descreve os parâmetros comuns para cada conjunto de políticas.

Parâmetro	Description	Valores válidos	Predefinição
efeito	Ativar ou desativar a execução da política	DeployIfNotExists, AuditIfNotExists, Desativado	DeployIfNotExists
diagnosticSettingName	Nome da Definição de Diagnóstico		setByPolicy-LogAnalytics
categoryGroup	Grupo de categorias de diagnóstico	nenhum, auditoria, allLogs	auditoria

Parâmetros específicos da política

Parâmetros da política do Log Analytics

Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para uma área de trabalho do Log Analytics.

Parâmetro	Description	Valores válidos	Predefinição
resourceLocationList	Lista de Localização de Recursos para enviar registos para o Log Analytics próximo. "*" seleciona todas as localizações	Localizações suportadas	*
logAnalytics	Área de trabalho do Log Analytics

Parâmetros de política dos Hubs de Eventos

Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para um hub de eventos.

Parâmetro	Description	Valores válidos	Predefinição
resourceLocation	A Localização do Recurso tem de ser a mesma localização que o Espaço de Nomes do hub de eventos	Localizações suportadas
eventHubAuthorizationRuleId	ID da Regra de Autorização do hub de eventos. A regra de autorização está ao nível do espaço de nomes do hub de eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nome do hub de eventos		Monitorização

Parâmetros de política de Contas de Armazenamento

Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para uma Conta de Armazenamento.

Parâmetro	Description	Valores válidos	Predefinição
resourceLocation	A Localização do Recurso tem de estar na mesma localização que a Conta de Armazenamento	Localizações suportadas
storageAccount	ResourceId da Conta de Armazenamento

Recursos Suportados

Existem políticas de registos de auditoria incorporadas para áreas de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento para os seguintes recursos:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Passos Seguintes

• Criar definições de diagnóstico em escala com Azure Policy
• Azure Policy definições incorporadas para o Azure Monitor
• Descrição Geral do Azure Policy
• Azure Enterprise Policy como Código