Встроенные политики для Azure Monitor

Политики и инициативы политики предоставляют простой способ включения ведения журнала в большом масштабе с помощью параметров диагностика для Azure Monitor. С помощью инициативы политики можно включить ведение журнала аудита для всех поддерживаемых ресурсов в среде Azure.

Включите журналы ресурсов для отслеживания действий и событий, происходящих с ресурсами, а также предоставления сведений о происходящих изменениях. Назначьте политики для включения журналов ресурсов и их отправки в назначения в соответствии с вашими потребностями. Отправляйте журналы в центры событий для сторонних систем SIEM, обеспечивая непрерывные операции безопасности. Отправлять журналы в учетные записи хранения для долгосрочного хранения или соблюдения нормативных требований.

Существует набор встроенных политик и инициатив для направления журналов ресурсов в рабочие области Log Analytics, Центры событий и учетные записи хранения. Политики позволяют вести журнал аудита, отправляя журналы, принадлежащие группе категорий журналов аудита , в концентратор событий, рабочую область Log Analytics или учетную запись хранения. Политика имеет effect значение DeployIfNotExists, которое развертывает политику по умолчанию, если другие параметры не определены.

Развертывание политик.

Развертывание политик и инициатив с помощью портала, CLI, PowerShell или шаблонов управления ресурсами Azure

Портал Azure

Ниже показано, как применить политику для отправки журналов аудита для хранилищ ключей в рабочую область Log Analytics.

1. На странице Политика выберите Определения.

2. Выберите область. Политику можно применить ко всей подписке, группе ресурсов или отдельному ресурсу.

3. В раскрывающемся списке Тип определения выберите Политика.

4. Выберите Мониторинг в раскрывающемся списке Категория.

5. Введите keyvault в поле Поиск .

6. Выберите группу Включить ведение журнала по категориям для хранилища ключей (microsoft.keyvault/vaults) в Log Analytics политики.

7. На странице определения политики выберите Назначить.

8. Выберите вкладку Свойства .

9. Выберите рабочую область Log Analytics, в которую вы хотите отправить журналы аудита.

10. Выберите вкладку Исправление .

11. На вкладке Исправление выберите политику хранилища ключей в раскрывающемся списке Политика исправления .

12. Установите флажок Создать управляемое удостоверение .

13. В разделе Тип управляемого удостоверения выберите Управляемое удостоверение, назначаемое системой.

14. Выберите Просмотр и создание, а затем — Создать .

CLI

Чтобы применить политику с помощью интерфейса командной строки, используйте следующие команды:

1. Создайте назначение политики с помощью az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Например, чтобы применить политику для отправки журналов аудита в рабочую область Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Назначьте необходимую роль удостоверению, созданному для назначения политики. Найдите роль в определении политики, выполнив поиск по запросу roleDefinitionIds.

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Назначьте требуемую роль с помощью az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Пример:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Активируйте сканирование для поиска существующих ресурсов с помощью az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Создайте задачу исправления, чтобы применить политику к существующим ресурсам с помощью az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Например,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Дополнительные сведения о назначении политики с помощью CLI см. в справочнике по Azure CLI — az policy assignment.

PowerShell

Чтобы применить политику с помощью PowerShell, используйте следующие команды:

1. Настройте свое окружение. Выберите подписку и задайте группу ресурсов.

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Получение определения политики и настройка параметров политики. В приведенном ниже примере мы назначаем политику для отправки журналов keyVault в рабочую область Log Analytics.

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Назначение политики

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Назначение требуемой роли или ролей управляемому удостоверению, назначаемому системой

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Проверьте соответствие требованиям, а затем создайте задачу исправления, чтобы принудительно обеспечить соответствие существующим ресурсам.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Проверка соответствия

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Политика отображается в параметрах диагностики ресурсов примерно через 30 минут.

Задачи исправления

Политики применяются к новым ресурсам при их создании. Чтобы применить политику к существующим ресурсам, создайте задачу исправления. Задачи исправления приводят ресурсы в соответствие политике.

Задачи исправления действуют для конкретных политик. Для инициатив, содержащих несколько политик, создайте задачу исправления для каждой политики в инициативе, где у вас есть ресурсы, которые вы хотите привести в соответствие.

Определите задачи исправления при первом назначении политики или на любом этапе после назначения.

Чтобы создать задачу исправления для политик во время назначения политики, перейдите на вкладку Исправление на странице Назначение политики и установите флажок Создать задачу исправления .

Чтобы создать задачу исправления после назначения политики, выберите назначенную политику из списка на странице Назначения политик.

Щелкните элемент Исправить. Отслеживайте состояние задачи исправления на вкладке Задачи исправления на странице Исправление политики.

Дополнительные сведения о задачах исправления см. в разделе Исправление несоответствующих ресурсов.

Назначение инициатив

Инициативы — это коллекции политик. Существуют три инициативы по настройке параметров диагностики Azure Monitor:

• Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Центрах событий
• Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Log Analytics
• Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в хранилище

В этом примере мы назначим инициативу по отправке журналов аудита в рабочую область Log Analytics.

Портал Azure

1. На странице Определения политики выберите область.

2. Выберите Инициатива в раскрывающемся списке Тип определения .

3. Выберите Мониторинг в раскрывающемся списке Категория .

4. Введите audit в поле Поиск .

5. Выберите инициативу Включить ведение журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Log Analytics .

6. На следующей странице выберите Назначить

7. На вкладке Основные сведения на странице Назначение инициативы выберите область , к которой вы хотите применить инициативу.

8. Введите имя в поле Имя назначения .

9. Выберите вкладку Параметры .

   Параметры содержат параметры, определенные в политике. В этом случае необходимо выбрать рабочую область Log Analytics, в которую нужно отправить журналы. Дополнительные сведения об отдельных параметрах для каждой политики см. в разделе Параметры, относящиеся к политике.

10. Выберите рабочую область Log Analytics для отправки журналов аудита.

11. Выберите Просмотр и создание, а затем

Чтобы убедиться, что назначение политики или инициативы работает, создайте ресурс в подписке или группе ресурсов область, определенных в назначении политики.

Через 10 минут выберите страницу Параметры диагностики для ресурса. Параметр диагностики появится в списке с именем по умолчанию setByPolicy-LogAnalytics и именем рабочей области, настроенным в политике.

Измените имя по умолчанию на вкладке Параметры на странице Назначение инициативы или политики, снимите флажок Показывать только параметры, требующие ввода или проверки .

PowerShell

1. Настройка переменных среды

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Получите определение инициативы. В этом примере мы будем использовать инициативу Включить ведение журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5".

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Задайте имя назначения и настройте параметры. Для этой инициативы параметры включают идентификатор рабочей области Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Назначение инициативы с помощью параметров

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Назначьте Contributor роль управляемому удостоверению, назначаемому системой. Для других инициатив проверка, какие роли требуются.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Проверка соответствия политике. Возврат Start-AzPolicyComplianceScan команды занимает несколько минут.

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Получение списка ресурсов для исправления и необходимых параметров путем вызова Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Для каждого типа ресурсов с не соответствующими ресурсами запустите задачу исправления.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Проверьте состояние соответствия после завершения задач по исправлению.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Сведения о назначении политики можно получить с помощью следующей команды:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Войдите в учетную запись Azure с помощью az login команды .

2. Выберите подписку, в которой вы хотите применить инициативу политики, с помощью az account set команды .

3. Назначьте инициативу с помощью az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Пример:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Назначение необходимой роли управляемому системой удостоверению

   Найдите роли для назначения в любом из определений политик в инициативе, выполнив поиск в определении roleDefinitionIds, например:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Назначьте требуемую роль с помощью az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Пример:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Создайте задачи исправления для политик в инициативе.

   Задачи исправления создаются для каждой политики. Каждая задача предназначена для конкретного definition-reference-id, указанного в инициативе как policyDefinitionReferenceId. Чтобы найти definition-reference-id параметр, используйте следующую команду:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Исправление ресурсов с помощью az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Пример:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Чтобы создать задачу исправления для всех политик в инициативе, используйте следующий пример:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Общие параметры

В следующей таблице описаны общие параметры для каждого набора политик.

Параметр	Описание	Допустимые значения	По умолчанию
effect	Включение или отключение выполнения политики	DeployIfNotExists, AuditIfNotExists, Выключено	DeployIfNotExists
diagnosticSettingName	Имя параметра диагностики		setByPolicy-LogAnalytics
categoryGroup	Группа категорий диагностики	Ни один Аудита allLogs	аудит

Параметры, относящиеся к политике

Параметры политики Log Analytics

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics.

Параметр	Описание	Допустимые значения	По умолчанию
resourceLocationList	Список расположений ресурсов для отправки журналов в близлежащий Log Analytics. "*" выбирает все расположения	Поддерживаемые расположения	*
logAnalytics	Рабочая область Log Analytics

Параметры политики Центров событий

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий.

Параметр	Описание	Допустимые значения	По умолчанию
resourceLocation	Расположение ресурса должно совпадать с расположением пространства имен концентратора событий.	Поддерживаемые расположения
eventHubAuthorizationRuleId	Идентификатор правила авторизации концентратора событий. Правило авторизации находится на уровне пространства имен концентратора событий. Например, /subscriptions/{идентификатор подписки}/resourceGroups/{группа ресурсов}/providers/Microsoft.EventHub/namespaces/{пространство имен концентратора событий}/authorizationrules/{правило авторизации}
eventHubName	Имя концентратора событий		Наблюдение

Параметры политики учетных записей хранения

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения.

Параметр	Описание	Допустимые значения	По умолчанию
resourceLocation	Расположение ресурса должно находиться в том же расположении, что и учетная запись хранения.	Поддерживаемые расположения
storageAccount	Идентификатор ресурса учетной записи хранения

Поддерживаемые ресурсы

Встроенные политики журналов аудита для рабочих областей Log Analytics, Центров событий и учетных записей хранения существуют для следующих ресурсов:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Next Steps

• Создание параметров диагностики в большом масштабе с помощью Политики Azure
• Встроенные определения в Политике Azure для Azure Monitor
• Что такое служба "Политика Azure"
• Политика Azure Enterprise как код