Nastavení protokolování pro monitorování aplikací logiky v Microsoft Defenderu pro cloud

  • Článek

Při monitorování prostředků Azure Logic Apps ve službě Microsoft Azure Security Center můžete zkontrolovat, jestli vaše aplikace logiky postupují podle výchozích zásad. Po povolení protokolování a správném nastavení cíle protokolů se v Azure zobrazuje stav prostředku Azure Logic Apps. Tento článek vysvětluje, jak nakonfigurovat protokolování diagnostiky a zajistit, aby všechny vaše aplikace logiky byly v pořádku.

Tip

Pokud chcete zjistit aktuální stav služby Azure Logic Apps, projděte si stránku stavu Azure, která uvádí stav pro různé produkty a služby v každé dostupné oblasti.

Požadavky

Povolit diagnostické protokolování

Než budete moct zobrazit stav prostředku pro aplikace logiky, musíte nejprve nastavit protokolování diagnostiky. Pokud už máte pracovní prostor služby Log Analytics, můžete protokolování povolit buď při vytváření aplikace logiky, nebo v existujících aplikacích logiky.

Tip

Výchozím doporučením je povolit diagnostické protokoly pro Azure Logic Apps. Toto nastavení ale řídíte pro aplikace logiky. Když povolíte diagnostické protokoly pro aplikace logiky, můžete tyto informace použít k analýze incidentů zabezpečení.

Kontrola nastavení protokolování diagnostiky

Pokud si nejste jistí, jestli vaše aplikace logiky mají povolené protokolování diagnostiky, můžete se vrátit se změnami defenderu pro cloud:

  1. Přihlaste se k portálu Azure.
  2. Na panelu hledání zadejte a vyberte Defender for Cloud.
  3. V nabídce řídicího panelu ochrany úloh v části Obecné vyberte Doporučení.
  4. V tabulce návrhů zabezpečení vyhledejte a vyberte Povolit auditování a protokolování>diagnostických protokolů v Logic Apps by se měly povolit v tabulce bezpečnostních prvků.
  5. Na stránce doporučení rozbalte část Kroky nápravy a zkontrolujte možnosti. Diagnostiku Azure Logic Apps můžete povolit tak , že vyberete tlačítko Rychlá oprava! nebo podle pokynů k ruční nápravě.

Zobrazení stavu aplikací logiky

Po povolení protokolování diagnostiky se v Defenderu pro cloud zobrazí stav aplikací logiky.

  1. Přihlaste se k portálu Azure.

  2. Na panelu hledání zadejte a vyberte Defender for Cloud.

  3. V nabídce řídicího panelu ochrany úloh v části Obecné vyberte Inventář.

  4. Na stránce inventáře vyfiltrujte seznam prostředků a zobrazte jenom prostředky Azure Logic Apps. V nabídce stránky vyberte Aplikace logiky typů>prostředků.

    Čítač Prostředky, které nejsou v pořádku, zobrazuje počet aplikací logiky, které Defender for Cloud považuje za špatné.

  5. V seznamu prostředků aplikací logiky zkontrolujte sloupec Doporučení . Pokud chcete zkontrolovat podrobnosti o stavu konkrétní aplikace logiky, vyberte název prostředku nebo vyberte tlačítko se třemi tečkami (...). >Zobrazit prostředek

  6. Pokud chcete napravit případné problémy se stavem prostředků, postupujte podle kroků uvedených v aplikacích logiky.

Pokud je protokolování diagnostiky už povolené, může dojít k problému s cílem pro vaše protokoly. Přečtěte si , jak vyřešit problémy s různými cíli protokolování diagnostiky.

Oprava protokolování diagnostiky pro aplikace logiky

Pokud jsou vaše aplikace logiky uvedené v programu Defender for Cloud jako v pořádku, otevřete aplikaci logiky v zobrazení kódu na webu Azure Portal nebo prostřednictvím Azure CLI. Pak zkontrolujte cílovou konfiguraci diagnostických protokolů: Azure Log Analytics, Azure Event Hubs nebo účet služby Azure Storage.

Cíle Log Analytics a Event Hubs

Pokud jako cíl diagnostických protokolů Azure Logic Apps používáte Log Analytics nebo Event Hubs, zkontrolujte následující nastavení.

  1. Pokud chcete ověřit, že jste povolili diagnostické protokoly, zkontrolujte, jestli je pole nastavení logs.enabled diagnostiky nastavené na truehodnotu .
  2. Pokud chcete ověřit, že jste nenastavili účet úložiště jako cíl, zkontrolujte, jestli storageAccountId je pole nastavené na falsehodnotu .

Příklad:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
]

Cíl účtu úložiště

Pokud jako cíl pro diagnostické protokoly Azure Logic Apps použijete účet úložiště, zkontrolujte následující nastavení.

  1. Pokud chcete ověřit, že jste povolili diagnostické protokoly, zkontrolujte, jestli je pole nastavení logs.enabled diagnostiky nastavené na truehodnotu .
  2. Pokud chcete ověřit, že jste pro diagnostické protokoly povolili zásadu uchovávání informací, zkontrolujte, jestli retentionPolicy.enabled je toto pole nastavené na true.
  3. Pokud chcete potvrdit, že jste nastavili dobu uchování 0 až 365 dnů, zkontrolujte retentionPolicy.days , jestli je toto pole nastavené na číslo v rozsahu od 0 do 365.
"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]