Azure İzleyici için yerleşik ilkeler

İlkeler ve ilke girişimleri, Azure İzleyici için tanılama ayarları aracılığıyla büyük ölçekte günlüğe kaydetmeyi etkinleştirmek için basit bir yöntem sağlar. İlke girişimini kullanarak, Azure ortamınızda desteklenen tüm kaynaklar için denetim günlüğünü açabilirsiniz.

Kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek için kaynak günlüklerini etkinleştirin ve gerçekleşen değişikliklerle ilgili görünürlük ve içgörüler elde edin. Kaynak günlüklerini etkinleştirmek ve gereksinimlerinize göre hedeflere göndermek için ilkeler atayın. Günlükleri üçüncü taraf SIEM sistemleri için olay hub'larına göndererek sürekli güvenlik işlemlerine olanak tanır. Daha uzun süreli depolama veya mevzuat uyumluluğunun yerine getirilmesi için günlükleri depolama hesaplarına gönderin.

Kaynak günlüklerini Log Analytics Çalışma Alanları, Event Hubs ve Depolama Hesaplarına yönlendirmek için bir dizi yerleşik ilke ve girişim vardır. İlkeler denetim günlüğünü etkinleştirir ve denetim günlüğü kategori grubuna ait günlükleri bir olay hub'ına, Log Analytics çalışma alanına veya Depolama Hesabına gönderir. İlkelerin effect değeridir DeployIfNotExists. Bu ilke, tanımlanmış başka ayarlar yoksa ilkeyi varsayılan olarak dağıtır.

İlkeleri dağıtma.

Portal, CLI, PowerShell veya Azure Kaynak Yönetimi şablonlarını kullanarak ilkeleri ve girişimleri dağıtma

Azure portalı

Aşağıdaki adımlarda, anahtar kasaları için denetim günlüklerini log analytics çalışma alanına göndermek üzere ilkenin nasıl uygulanacağı gösterilir.

1. İlke sayfasında Tanımlar'ı seçin.

2. Kapsamınızı seçin. Aboneliğin tamamına, kaynak grubuna veya tek bir kaynağa ilke uygulayabilirsiniz.

3. Tanım türü açılan listesinde İlke'yi seçin.

4. Kategori açılan listesinden İzleme'yi seçin

5. Arama alanına keyvault yazın.

6. Log Analytics'e Anahtar kasaları (microsoft.keyvault/vaults) için Kategoriye göre günlüğe kaydetmeyi etkinleştir ilkesini seçin

7. İlke tanımı sayfasında Ata'yı seçin

8. Parametreler sekmesini seçin.

9. Denetim günlüklerini göndermek istediğiniz Log Analytics Çalışma Alanını seçin.

10. Düzeltme sekmesini seçin.

11. Düzeltme sekmesinde, açılan listeyi düzeltmek için İlke'den anahtar kasası ilkesini seçin.

12. Yönetilen Kimlik Oluştur onay kutusunu seçin.

13. Yönetilen Kimlik Türü altındaSistem tarafından atanan Yönetilen Kimlik'i seçin.

14. Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

CLI

CLI kullanarak ilke uygulamak için aşağıdaki komutları kullanın:

1. kullanarak az policy assignment createbir ilke ataması oluşturun.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Örneğin, denetim günlüklerini log analytics çalışma alanına göndermek üzere ilkeyi uygulamak için

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. İlke ataması için oluşturulan kimliğe gerekli rolü atayın. roleDefinitionIds araması yaparak ilke tanımındaki rolü bulun

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   kullanarak az policy assignment identity assigngerekli rolü atayın:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Örnek:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. kullanarak mevcut kaynakları bulmak için bir tarama tetikleme az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. kullanarak az policy remediation createilkeyi mevcut kaynaklara uygulamak için bir düzeltme görevi oluşturun.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Örneğin,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

CLI kullanarak ilke ataması hakkında daha fazla bilgi için bkz. Azure CLI başvurusu - az policy assignment

PowerShell

PowerShell kullanarak ilke uygulamak için aşağıdaki komutları kullanın:

1. Ortamınızı ayarlayın. Aboneliğinizi seçin ve kaynak grubunuzu ayarlayın

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. İlke tanımını alın ve ilkenin parametrelerini yapılandırın. Aşağıdaki örnekte keyVault günlüklerini Log Analytics çalışma alanına gönderme ilkesini atıyoruz

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. İlke atama

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Sistem tarafından atanan Yönetilen Kimliğe gerekli rolü veya rolleri atama

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Uyumluluğu tarayın, ardından mevcut kaynaklara uyumluluğu zorlamak için bir düzeltme görevi oluşturun.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Uyumluluğu denetle

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

İlke, yaklaşık 30 dakika sonra kaynakların tanılama ayarlarında görünür.

Düzeltme görevleri

İlkeler oluşturulduklarında yeni kaynaklara uygulanır. Mevcut kaynaklara ilke uygulamak için bir düzeltme görevi oluşturun. Düzeltme görevleri, kaynakları bir ilkeyle uyumlu hale getirir.

Düzeltme görevleri belirli ilkeler için işlem gerçekleştirir. Birden çok ilke içeren girişimler için, uyumlu hale getirmek istediğiniz kaynaklara sahip olduğunuz girişimdeki her ilke için bir düzeltme görevi oluşturun.

İlkeyi atarken veya atamadan sonraki herhangi bir aşamada düzeltme görevlerini tanımlayın.

İlke ataması sırasında ilkeler için bir düzeltme görevi oluşturmak için İlke ata sayfasındaki Düzeltme sekmesini seçin ve Düzeltme görevi oluştur onay kutusunu seçin.

İlke atandıktan sonra bir düzeltme görevi oluşturmak için, İlke Atamaları sayfasındaki listeden atanan ilkenizi seçin.

Düzelt'i seçin. İlke Düzeltme sayfasının Düzeltme görevleri sekmesinde düzeltme görevinizin durumunu izleyin.

Düzeltme görevleri hakkında daha fazla bilgi için bkz. Uyumsuz kaynakları düzeltme

Girişim atama

Girişimler, ilke koleksiyonlarıdır. Azure İzleyici Tanılama ayarları için üç girişim vardır:

• Event Hubs'a desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştirme
• Log Analytics'e desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştirme
• Depolama için desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştirme

Bu örnekte, Log Analytics çalışma alanına denetim günlükleri gönderme girişimini atıyoruz.

Azure portalı

1. İlke Tanımları sayfasından kapsamınızı seçin.

2. Tanım türü açılan listesinde Girişim'i seçin.

3. Kategori açılan listesinde İzleme'yi seçin.

4. Arama alanına denetim girin.

5. Log Analytics'e yönelik desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştir girişimini seçin.

6. Aşağıdaki sayfada, ata'yı seçin.

7. Girişim ata sayfasının Temel bilgiler sekmesinde, girişimin uygulanmasını istediğiniz kapsamı seçin.

8. Atama adı alanına bir ad girin.

9. Parametreler sekmesini seçin.

   Parametreler, ilkede tanımlanan parametreleri içerir. Bu durumda, günlükleri göndermek istediğimiz Log Analytics çalışma alanını seçmemiz gerekir. Her ilkenin tek tek parametreleri hakkında daha fazla bilgi için bkz. İlkeye özgü parametreler.

10. Denetim günlüklerinizi göndermek için Log Analytics çalışma alanını seçin.

11. Gözden geçir ve oluştur'u seçin ve ardından oluşturun.

İlkenizin veya girişim atamanızın çalıştığını doğrulamak için, ilke atamanızda tanımladığınız abonelik veya kaynak grubu kapsamında bir kaynak oluşturun.

10 dakika sonra kaynağınız için Tanılama ayarları sayfasını seçin. Tanılama ayarınız listede varsayılan adı setByPolicy-LogAnalytics ve ilkede yapılandırdığınız çalışma alanı adıyla gösterilir.

Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster onay kutusunun seçimini kaldırarak Girişimi veya ilkeyi ata sayfasının Parametreler sekmesindeki varsayılan adı değiştirin.

PowerShell

1. Ortam değişkenlerinizi ayarlama

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Girişim tanımını alın. Bu örnekte, 'Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5" için Desteklenen kaynaklar için Initiative Enable audit category group resource logging komutunu kullanacağız

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Bir atama adı ayarlayın ve parametreleri yapılandırın. Bu girişim için parametreler Log Analytics çalışma alanı kimliğini içerir.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Parametreleri kullanarak girişimi atama

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor Rolü sistem tarafından atanan Yönetilen Kimliğe atayın. Diğer girişimler için hangi rollerin gerekli olduğunu denetleyin.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. İlke uyumluluğunu tarayın. Komutun Start-AzPolicyComplianceScan döndürülmesi birkaç dakika sürer

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Öğesini çağırarak düzeltecek kaynakların listesini ve gerekli parametreleri alma Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Uyumlu olmayan kaynaklara sahip her kaynak türü için bir düzeltme görevi başlatın.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Düzeltme görevleri tamamlandığında uyumluluk durumunu denetleyin.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

aşağıdaki komutu kullanarak ilke atama ayrıntılarınızı alabilirsiniz:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. komutunu kullanarak az login Azure hesabınızda oturum açın.

2. komutunu kullanarak az account set ilke girişimini uygulamak istediğiniz aboneliği seçin.

3. kullanarak girişimi atayın az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Örnek:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Sistem tarafından yönetilen kimliğe gerekli rolü atama

   RoleDefinitionIds tanımını arayarak girişimdeki ilke tanımlarından herhangi birinde atanacak rolleri bulun, örneğin:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   kullanarak az policy assignment identity assigngerekli rolü atayın:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Örnek:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Girişimdeki ilkeler için düzeltme görevleri oluşturun.

   Düzeltme görevleri ilke başına oluşturulur. Her görev, girişimde olarak belirtilen belirli definition-reference-idbir öğesine yöneliktir policyDefinitionReferenceId. parametresini definition-reference-id bulmak için aşağıdaki komutu kullanın:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   kullanarak kaynakları düzeltme az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Örnek:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Girişimdeki tüm ilkeler için bir düzeltme görevi oluşturmak için aşağıdaki örneği kullanın:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Ortak parametreler

Aşağıdaki tabloda her ilke kümesi için ortak parametreler açıklanmaktadır.

Parametre	Açıklama	Geçerli Değerler	Varsayılan
etki	İlkenin yürütülmesini etkinleştirme veya devre dışı bırakma	DeployIfNotExists, AuditIfNotExists, Devre dışı	DeployIfNotExists
diagnosticSettingName	Tanılama Ayarı Adı		setByPolicy-LogAnalytics
categoryGroup	Tanılama kategorisi grubu	Hiçbiri Denetim allLogs	Denetim

İlkeye özgü parametreler

Log Analytics ilke parametreleri

Bu ilke, günlükleri Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.

Parametre	Açıklama	Geçerli Değerler	Varsayılan
resourceLocationList	Günlükleri yakındaki Log Analytics'e göndermek için Kaynak Konumu Listesi. "*" tüm konumları seçer	Desteklenen konumlar	*
logAnalytics	Log Analytics Çalışma Alanı

Event Hubs ilke parametreleri

Bu ilke, günlükleri bir olay hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.

Parametre	Açıklama	Geçerli Değerler	Varsayılan
resourceLocation	Kaynak Konumu, olay hub'ı Ad Alanı ile aynı konumda olmalıdır	Desteklenen konumlar
eventHubAuthorizationRuleId	Olay hub'ı Yetkilendirme Kuralı Kimliği. Yetkilendirme kuralı olay hub'ı ad alanı düzeyindedir. Örneğin, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Olay hub'ı adı		İzleme

Depolama Hesapları ilke parametreleri

Bu ilke, günlükleri depolama hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.

Parametre	Açıklama	Geçerli Değerler	Varsayılan
resourceLocation	Kaynak Konumu, Depolama Hesabı ile aynı konumda olmalıdır	Desteklenen konumlar
storageAccount	Depolama Hesabı resourceId

Desteklenen Kaynaklar

Aşağıdaki kaynaklar için Log Analytics çalışma alanları, Event Hubs ve Depolama Hesapları için yerleşik Denetim günlükleri ilkeleri vardır:

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/ad alanları
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Sonraki Adımlar

• Azure İlkesi kullanarak uygun ölçekte tanılama ayarları oluşturma
• Azure İzleyici için yerleşik tanımları Azure İlkesi
• Azure İlkesi'ne Genel Bakış
• Kod Olarak Azure Kurumsal İlkesi