As políticas e iniciativas políticas fornecem um método simples para permitir o registo em escala através das definições de diagnóstico do Azure Monitor. Com uma iniciativa de política, pode ativar o registo de auditoria para todos os recursos suportados no seu ambiente do Azure.
Ative os registos de recursos para controlar atividades e eventos que ocorrem nos seus recursos e dar-lhe visibilidade e informações sobre quaisquer alterações que ocorram.
Atribua políticas para ativar os registos de recursos e enviá-los para destinos de acordo com as suas necessidades. Envie registos para hubs de eventos para sistemas SIEM de terceiros, ativando operações de segurança contínuas. Enviar registos para contas de armazenamento de longo prazo ou o cumprimento da conformidade regulamentar.
Existe um conjunto de políticas e iniciativas incorporadas para direcionar os registos de recursos para Áreas de Trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas permitem o registo de auditoria, enviando registos pertencentes ao grupo de categorias de registo de auditoria para um hub de eventos, área de trabalho do Log Analytics ou Conta de Armazenamento. As políticas são effectDeployIfNotExists, que implementa a política como predefinição se não existirem outras definições definidas.
Implementar políticas.
Implementar as políticas e iniciativas com os modelos portal, CLI, PowerShell ou Azure Resource Management
Os passos seguintes mostram como aplicar a política para enviar registos de auditoria para cofres de chaves para uma área de trabalho de análise de registos.
Na página Política, selecione Definições.
Selecione o âmbito. Pode aplicar uma política a toda a subscrição, a um grupo de recursos ou a um recurso individual.
Na lista pendente Tipo de definição , selecione Política.
Selecione Monitorização na lista pendente Categoria
Introduza keyvault no campo Procurar .
Selecione a política Ativar o registo por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para a política do Log Analytics ,
Na página de definição de política, selecione Atribuir
Selecione o separador Parâmetros .
Selecione a Área de Trabalho do Log Analytics para a qual pretende enviar os registos de auditoria.
Selecione o separador Remediação .
No separador remediação, selecione a política keyvault na lista pendente Política para remediar .
Selecione a caixa de verificação Criar uma Identidade Gerida .
Em Tipo de Identidade Gerida, selecione Identidade Gerida atribuída pelo sistema.
Selecione Rever + criar e, em seguida, selecione Criar .
Para aplicar uma política com a CLI, utilize os seguintes comandos:
Atribua a função necessária à identidade criada para a atribuição de política.
Localizar a função na definição de política ao procurar roleDefinitionIds
Para aplicar uma política com o PowerShell, utilize os seguintes comandos:
Configure o seu ambiente.
Selecione a sua subscrição e defina o seu grupo de recursos
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Obtenha a definição de política e configure os parâmetros da política. No exemplo abaixo, atribuímos a política para enviar registos keyVault para uma área de trabalho do Log Analytics
A política é visível nas definições de diagnóstico dos recursos após aproximadamente 30 minutos.
Tarefas de remediação
As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de remediação. As tarefas de remediação levam os recursos à conformidade com uma política.
As tarefas de remediação atuam para políticas específicas. Para iniciativas que contenham múltiplas políticas, crie uma tarefa de remediação para cada política na iniciativa onde tem recursos que pretende que sejam compatíveis.
Defina tarefas de remediação quando atribuir a política pela primeira vez ou em qualquer fase após a atribuição.
Para criar uma tarefa de remediação para políticas durante a atribuição de políticas, selecione o separador Remediação na página Atribuir política e selecione a caixa de verificação Criar tarefa de remediação .
Para criar uma tarefa de remediação após a atribuição da política, selecione a política atribuída na lista na página Atribuições de Políticas.
Selecione Remediar.
Controle o estado da tarefa de remediação no separador Tarefas de remediação da página Remediação de Políticas.
Na página Definições da política, selecione o âmbito.
Selecione Iniciativa na lista pendente Tipo de definição .
Selecione Monitorização na lista pendente Categoria .
Introduza auditoria no campo Procurar .
Selecione a opção Ativar o registo de recursos do grupo de categorias de auditoria para recursos suportados para a iniciativa do Log Analytics .
Na página seguinte, selecione Atribuir
No separador Noções Básicas da página Atribuir iniciativa , selecione um Âmbito ao qual pretende que a iniciativa se aplique.
Introduza um nome no campo Nome da tarefa .
Selecione o separador Parâmetros .
Os Parâmetros contêm os parâmetros definidos na política. Neste caso, temos de selecionar a área de trabalho do Log Analytics para a qual queremos enviar os registos. Para obter mais informações sobre os parâmetros individuais de cada política, veja Parâmetros específicos da política.
Selecione a área de trabalho do Log Analytics para onde enviar os registos de auditoria.
Selecione Rever + criar e, em seguida, Criar
Para verificar se a sua atribuição de política ou iniciativa está a funcionar, crie um recurso no âmbito da subscrição ou do grupo de recursos que definiu na atribuição de políticas.
Após 10 minutos, selecione a página Definições de diagnóstico do recurso.
A definição de diagnóstico é apresentada na lista com o nome predefinido setByPolicy-LogAnalytics e o nome da área de trabalho que configurou na política.
Altere o nome predefinido no separador Parâmetros da página Atribuir iniciativa ou política ao desmarcar a caixa de verificação Mostrar apenas parâmetros que precisam de entrada ou revisão .
Configurar as variáveis de ambiente
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Obtenha a definição de iniciativa. Neste exemplo, vamos utilizar o registo de recursos do grupo de categorias de auditoria Ativar Iniciativa para recursos suportados para " Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Crie tarefas de remediação para as políticas na iniciativa.
As tarefas de remediação são criadas por política. Cada tarefa destina-se a um específico definition-reference-id, especificado na iniciativa como policyDefinitionReferenceId. Para localizar o definition-reference-id parâmetro, utilize o seguinte comando:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Para criar uma tarefa de remediação para todas as políticas na iniciativa, utilize o seguinte exemplo:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Parâmetros comuns
A tabela seguinte descreve os parâmetros comuns para cada conjunto de políticas.
Parâmetro
Description
Valores válidos
Predefinição
efeito
Ativar ou desativar a execução da política
DeployIfNotExists, AuditIfNotExists, Desativado
DeployIfNotExists
diagnosticSettingName
Nome da Definição de Diagnóstico
setByPolicy-LogAnalytics
categoryGroup
Grupo de categorias de diagnóstico
nenhum, auditoria, allLogs
auditoria
Parâmetros específicos da política
Parâmetros da política do Log Analytics
Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para uma área de trabalho do Log Analytics.
Parâmetro
Description
Valores válidos
Predefinição
resourceLocationList
Lista de Localização de Recursos para enviar registos para o Log Analytics próximo. "*" seleciona todas as localizações
Localizações suportadas
*
logAnalytics
Área de trabalho do Log Analytics
Parâmetros de política dos Hubs de Eventos
Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para um hub de eventos.
Parâmetro
Description
Valores válidos
Predefinição
resourceLocation
A Localização do Recurso tem de ser a mesma localização que o Espaço de Nomes do hub de eventos
Localizações suportadas
eventHubAuthorizationRuleId
ID da Regra de Autorização do hub de eventos. A regra de autorização está ao nível do espaço de nomes do hub de eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName
Nome do hub de eventos
Monitorização
Parâmetros de política de Contas de Armazenamento
Esta política implementa uma definição de diagnóstico com um grupo de categorias para encaminhar registos para uma Conta de Armazenamento.
Parâmetro
Description
Valores válidos
Predefinição
resourceLocation
A Localização do Recurso tem de estar na mesma localização que a Conta de Armazenamento
Localizações suportadas
storageAccount
ResourceId da Conta de Armazenamento
Recursos Suportados
Existem políticas de registos de auditoria incorporadas para áreas de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento para os seguintes recursos: