Inbyggda principer för Azure Monitor

Principer och principinitiativ är en enkel metod för att aktivera loggning i stor skala via diagnostikinställningar för Azure Monitor. Med hjälp av ett principinitiativ kan du aktivera granskningsloggning för alla resurser som stöds i Din Azure-miljö.

Aktivera resursloggar för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Tilldela principer för att aktivera resursloggar och skicka dem till mål enligt dina behov. Skicka loggar till händelsehubbar för SIEM-system från tredje part, vilket möjliggör kontinuerliga säkerhetsåtgärder. Skicka loggar till lagringskonton för långsiktig lagring eller uppfyllande av regelefterlevnad.

Det finns en uppsättning inbyggda principer och initiativ för att dirigera resursloggar till Log Analytics-arbetsytor, eventhubbar och lagringskonton. Principerna aktiverar granskningsloggning och skickar loggar som tillhör kategorigruppen för granskningsloggar till en händelsehubb, Log Analytics-arbetsyta eller lagringskonto. effect Principerna är DeployIfNotExists, som distribuerar principen som standard om det inte finns andra definierade inställningar.

Distribuera principer.

Distribuera principer och initiativ med hjälp av portalen, CLI, PowerShell eller Azure Resource Management-mallar

Azure-portalen

Följande steg visar hur du tillämpar principen för att skicka granskningsloggar till för nyckelvalv till en Log Analytics-arbetsyta.

1. På sidan Princip väljer du Definitioner.

2. Välj omfång. Du kan tillämpa en princip på hela prenumerationen, en resursgrupp eller en enskild resurs.

3. I listrutan Definitionstyp väljer du Princip.

4. Välj Övervakning i listrutan Kategori

5. Ange keyvaulti sökfältet .

6. Välj principen Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics (Aktivera loggning efter kategorigrupp för nyckelvalv(microsoft.keyvault/vaults) till Log Analytics-principen

7. På sidan principdefinition väljer du Tilldela

8. Välj fliken Parametrar .

9. Välj den Log Analytics-arbetsyta som du vill skicka granskningsloggarna till.

10. Välj fliken Reparation .

11. På fliken Reparation väljer du principen för nyckelvalv från listrutan Princip för att åtgärda problemet.

12. Markera kryssrutan Skapa en hanterad identitet .

13. Under Typ av hanterad identitet väljer du Systemtilldelad hanterad identitet.

14. Välj Granska + skapa och välj sedan Skapa .

CLI

Om du vill tillämpa en princip med hjälp av CLI använder du följande kommandon:

1. Skapa en principtilldelning med hjälp av az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Om du till exempel vill tillämpa principen för att skicka granskningsloggar till en Log Analytics-arbetsyta

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Tilldela den nödvändiga rollen till den identitet som skapades för principtilldelningen. Hitta rollen i principdefinitionen genom att söka efter roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Tilldela den nödvändiga rollen med hjälp av az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Exempel:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Utlös en genomsökning för att hitta befintliga resurser med hjälp av az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Skapa en reparationsuppgift för att tillämpa principen på befintliga resurser med hjälp av az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Exempel:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Mer information om principtilldelning med CLI finns i Azure CLI-referens – az policy assignment

PowerShell

Om du vill tillämpa en princip med hjälp av PowerShell använder du följande kommandon:

1. Konfigurera din miljö. Välj din prenumeration och ange din resursgrupp

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Hämta principdefinitionen och konfigurera parametrarna för principen. I exemplet nedan tilldelar vi principen för att skicka keyVault-loggar till en Log Analytics-arbetsyta

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Tilldela principen

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Tilldela den eller de roller som krävs till den systemtilldelade hanterade identiteten

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Sök efter efterlevnad och skapa sedan en reparationsuppgift för att framtvinga efterlevnad för befintliga resurser.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Kontrollera efterlevnad

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

Principen visas i resursernas diagnostikinställningar efter cirka 30 minuter.

Reparationsåtgärder

Principer tillämpas på nya resurser när de skapas. Om du vill tillämpa en princip på befintliga resurser skapar du en reparationsuppgift. Reparationsåtgärder gör att resurser efterlever en princip.

Reparationsåtgärder fungerar för specifika principer. För initiativ som innehåller flera principer skapar du en åtgärdsuppgift för varje princip i initiativet där du har resurser som du vill följa.

Definiera reparationsuppgifter när du först tilldelar principen eller i något skede efter tilldelningen.

Om du vill skapa en reparationsaktivitet för principer under principtilldelningen väljer du fliken Reparation på sidan Tilldela princip och markerar kryssrutan Skapa reparationsaktivitet .

Om du vill skapa en reparationsaktivitet när principen har tilldelats väljer du din tilldelade princip i listan på sidan Principtilldelningar.

Välj Åtgärda. Spåra status för reparationsaktiviteten på fliken Reparationsåtgärder på sidan Principreparation.

Mer information om reparationsåtgärder finns i Åtgärda inkompatibla resurser

Tilldela initiativ

Initiativ är samlingar av principer. Det finns tre initiativ för Azure Monitor Diagnostics-inställningar:

• Aktivera resursloggning för granskningskategorigrupper för resurser som stöds till Event Hubs
• Aktivera resursloggning för granskningskategorigrupper för resurser som stöds till Log Analytics
• Aktivera resursloggning för granskningskategorigrupper för resurser som stöds till lagring

I det här exemplet tilldelar vi ett initiativ för att skicka granskningsloggar till en Log Analytics-arbetsyta.

Azure-portalen

1. På sidan Principdefinitioner väljer du omfånget.

2. Välj Initiativ i listrutan Definitionstyp .

3. Välj Övervakning i listrutan Kategori .

4. Ange granskningi sökfältet .

5. Välj initiativet Aktivera resursloggning för granskningskategorigrupper för resurser som stöds i Log Analytics .

6. På följande sida väljer du Tilldela

7. På fliken Grundläggande inställningar på sidan Tilldela initiativ väljer du ett omfång som du vill att initiativet ska gälla för.

8. Ange ett namn i fältet Tilldelningsnamn .

9. Välj fliken Parametrar .

   Parametrarna innehåller de parametrar som definierats i principen. I det här fallet måste vi välja den Log Analytics-arbetsyta som vi vill skicka loggarna till. Mer information om enskilda parametrar för varje princip finns i Principspecifika parametrar.

10. Välj den Log Analytics-arbetsyta som granskningsloggarna ska skickas till.

11. Välj Granska + skapa och sedan Skapa

Om du vill kontrollera att din princip- eller initiativtilldelning fungerar skapar du en resurs i det prenumerations- eller resursgruppsomfång som du definierade i principtilldelningen.

Efter 10 minuter väljer du sidan Diagnostikinställningar för din resurs. Diagnostikinställningen visas i listan med standardnamnet setByPolicy-LogAnalytics och arbetsytans namn som du konfigurerade i principen.

Ändra standardnamnet på fliken Parametrar på sidan Tilldela initiativ eller princip genom att avmarkera kryssrutan Visa endast parametrar som behöver indata eller granskning .

PowerShell

1. Konfigurera dina miljövariabler

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Hämta initiativdefinitionen. I det här exemplet använder vi Initiativ Aktivera resursloggning för granskningskategorigrupper för resurser som stöds till Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Ange ett tilldelningsnamn och konfigurera parametrar. För det här initiativet innehåller parametrarna Log Analytics-arbetsyte-ID.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Tilldela initiativet med hjälp av parametrarna

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor Tilldela rollen till den systemtilldelade hanterade identiteten. För andra initiativ kontrollerar du vilka roller som krävs.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Sök efter principefterlevnad. Det Start-AzPolicyComplianceScan tar några minuter att returnera kommandot

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Hämta en lista över resurser som ska åtgärdas och de parametrar som krävs genom att anropa Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Starta en reparationsaktivitet för varje resurstyp med inkompatibla resurser.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Kontrollera kompatibilitetstillståndet när reparationsuppgifterna har slutförts.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Du kan hämta information om principtilldelningen med följande kommando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Logga in på ditt Azure-konto med kommandot az login .

2. Välj den prenumeration där du vill tillämpa principinitiativet med kommandot az account set .

3. Tilldela initiativet med hjälp av az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Exempel:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Tilldela den nödvändiga rollen till den systemhanterade identiteten

   Hitta de roller som ska tilldelas i någon av principdefinitionerna i initiativet genom att söka i definitionen efter roleDefinitionIds, till exempel:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Tilldela den nödvändiga rollen med :az policy assignment identity assign

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Exempel:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Skapa reparationsuppgifter för principerna i initiativet.

   Reparationsuppgifter skapas per princip. Varje uppgift är för en specifik definition-reference-id, som anges i initiativet som policyDefinitionReferenceId. Använd följande kommando för att hitta parametern definition-reference-id :

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Åtgärda resurserna med hjälp av az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Exempel:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Om du vill skapa en reparationsaktivitet för alla principer i initiativet använder du följande exempel:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Vanliga parametrar

I följande tabell beskrivs de vanliga parametrarna för varje uppsättning principer.

Parameter	Beskrivning	Giltiga värden	Standardvärde
effekt	Aktivera eller inaktivera körningen av principen	DeployIfNotExists, AuditIfNotExists, Inaktiverad	DeployIfNotExists
diagnosticSettingName	Namn på diagnostikinställning		setByPolicy-LogAnalytics
categoryGroup	Grupp för diagnostikkategori	Ingen Revision allLogs	Revision

Principspecifika parametrar

Log Analytics-principparametrar

Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta.

Parameter	Beskrivning	Giltiga värden	Standardvärde
resourceLocationList	Resursplatslista för att skicka loggar till närliggande Log Analytics. "*" markerar alla platser	Platser som stöds	*
logAnalytics	Log Analytics-arbetsyta

Principparametrar för Event Hubs

Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb.

Parameter	Beskrivning	Giltiga värden	Standardvärde
resourceLocation	Resursplats måste vara samma plats som händelsehubbens namnområde	Platser som stöds
eventHubAuthorizationRuleId	Regel-ID för händelsehubbauktorisering. Auktoriseringsregeln är på händelsehubbens namnområdesnivå. Till exempel /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Namn på händelsehubb		Övervakning

Principparametrar för lagringskonton

Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto.

Parameter	Beskrivning	Giltiga värden	Standardvärde
resourceLocation	Resursplatsen måste finnas på samma plats som lagringskontot	Platser som stöds
storageAccount	ResourceId för lagringskonto

Resurser som stöds

Inbyggda principer för granskningsloggar för Log Analytics-arbetsytor, händelsehubbar och lagringskonton finns för följande resurser:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Nästa steg

• Skapa diagnostikinställningar i stor skala med Azure Policy
• Azure Policy inbyggda definitioner för Azure Monitor
• Översikt över Azure Policy
• Azure Enterprise Policy som kod