Předdefinované zásady pro Azure Monitor

Následující kroky ukazují, jak použít zásadu k odesílání protokolů auditu do trezorů klíčů do pracovního prostoru služby Log Analytics.

1. Na stránce Zásady vyberte Definice.

2. Vyberte obor. Zásady můžete použít pro celé předplatné, skupinu prostředků nebo jednotlivé prostředky.

3. V rozevíracím seznamu Typ definice vyberte Zásady.

4. V rozevíracím seznamu Kategorie vyberte Možnost Monitorování .

5. Do vyhledávacího pole zadejte keyvault.

6. Vyberte možnost Povolit protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do zásad Log Analytics .

7. Na stránce definice zásady vyberte Přiřadit.

8. Vyberte kartu Parametry.

9. Vyberte pracovní prostor služby Log Analytics, do kterého chcete protokoly auditu odeslat.

10. Vyberte kartu Náprava.

11. Na kartě Náprava vyberte zásadu služby Keyvault z rozevíracího seznamu Zásady a opravte ji.

12. Zaškrtněte políčko Vytvořit spravovanou identitu.

13. V části Typ spravované identity vyberte spravovanou identitu přiřazenou systémem.

14. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Pokud chcete použít zásadu pomocí rozhraní příkazového řádku, použijte následující příkazy:

1. Vytvoření přiřazení zásad pomocí az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Pokud chcete například použít zásadu k odesílání protokolů auditu do pracovního prostoru služby Log Analytics.

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Přiřaďte požadovanou roli identitě vytvořené pro přiřazení zásady. Vyhledáním roleDefinitionIds v definici zásady

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Přiřaďte požadovanou roli pomocí az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Příklad:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Aktivujte kontrolu a vyhledejte existující prostředky pomocí az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Vytvořte úlohu nápravy, která použije zásadu pro existující prostředky pomocí az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Příklad:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Další informace o přiřazení zásad pomocí rozhraní příkazového řádku najdete v referenčních informacích k Azure CLI – az policy assignment

Pokud chcete použít zásadu pomocí PowerShellu, použijte následující příkazy:

1. Nastavte prostředí. Vyberte předplatné a nastavte skupinu prostředků.

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Získejte definici zásady a nakonfigurujte parametry pro zásadu. V následujícím příkladu přiřadíme zásadu pro odesílání protokolů služby KeyVault do pracovního prostoru služby Log Analytics.

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Přiřazení zásad

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Přiřazení požadované role nebo rolí k spravované identitě přiřazené systémem

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Vyhledejte dodržování předpisů a pak vytvořte úlohu nápravy, která vynutí dodržování předpisů pro existující prostředky.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Kontrola dodržování předpisů

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

1. Na stránce Definice zásad vyberte obor.

2. V rozevíracím seznamu Typ definice vyberte Iniciativu.

3. V rozevíracím seznamu Kategorie vyberte Možnost Monitorování.

4. Do vyhledávacího pole zadejte audit.

5. Vyberte možnost Povolit protokolování prostředků skupiny kategorií auditu pro podporované prostředky do iniciativy Log Analytics.

6. Na následující stránce vyberte Přiřadit.

7. Na kartě Základy na stránce Přiřadit iniciativu vyberte obor, na který má iniciativa platit.

8. Do pole Název přiřazení zadejte název.

9. Vyberte kartu Parametry.

   Parametry obsahují parametry definované v zásadách. V tomto případě musíme vybrat pracovní prostor služby Log Analytics, do kterého chceme protokoly odeslat. Další informace o jednotlivých parametrech pro jednotlivé zásady najdete v tématu Parametry specifické pro zásady.

10. Vyberte pracovní prostor služby Log Analytics, do které chcete odesílat protokoly auditu.

11. Vyberte Zkontrolovat a vytvořit a pak vytvořit.

Pokud chcete ověřit, že vaše přiřazení zásad nebo iniciativ funguje, vytvořte prostředek v oboru předplatného nebo skupiny prostředků, který jste definovali v přiřazení zásad.

Po 10 minutách vyberte stránku Nastavení diagnostiky vašeho prostředku. Nastavení diagnostiky se zobrazí v seznamu s výchozím názvem setByPolicy-LogAnalytics a názvem pracovního prostoru, který jste nakonfigurovali v zásadách.

Změňte výchozí název na kartě Parametry na stránce Přiřadit iniciativu nebo zásadu zrušením zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat .

1. Nastavení proměnných prostředí

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Získejte definici iniciativy. V tomto příkladu použijeme protokolování prostředků skupiny kategorií auditu pro podporované prostředky pro Log Analytics, ID prostředku /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5.

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Nastavte název přiřazení a nakonfigurujte parametry. Pro tuto iniciativu parametry zahrnují ID pracovního prostoru služby Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Přiřazení iniciativy pomocí parametrů

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor Přiřaďte roli spravované identitě přiřazené systémem. U jiných iniciativ zkontrolujte, které role jsou potřeba.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Vyhledejte dodržování zásad. Vrácení Start-AzPolicyComplianceScan příkazu trvá několik minut.

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Získání seznamu prostředků k nápravě a požadovaných parametrů voláním Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Pro každý typ prostředku s nevyhovujícími zdroji spusťte úlohu nápravy.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Zkontrolujte stav dodržování předpisů po dokončení úloh nápravy.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Podrobnosti o přiřazení zásad můžete získat pomocí následujícího příkazu:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

1. Přihlaste se ke svému účtu Azure pomocí az login příkazu.

2. Vyberte předplatné, ve kterém chcete použít iniciativu zásad pomocí az account set příkazu.

3. Přiřaďte iniciativu pomocí az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Příklad:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Přiřazení požadované role k identitě spravované systémem

   Vyhledejte role, které se mají přiřazovat v jakékoli definici zásad v iniciativě, a to vyhledáním definice roleDefinitionIds, například:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Přiřaďte požadovanou roli pomocí az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Příklad:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Vytvořte úlohy nápravy pro zásady v iniciativě.

   Úlohy nápravy se vytvářejí podle zásad. Každý úkol je určen pro konkrétní definition-reference-id, zadaný v iniciativě jako policyDefinitionReferenceId. K vyhledání parametru definition-reference-id použijte následující příkaz:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Náprava prostředků pomocí az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Příklad:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Pokud chcete vytvořit úlohu nápravy pro všechny zásady v iniciativě, použijte následující příklad:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done