Les stratégies et les initiatives de stratégie fournissent une méthode simple pour activer la journalisation à grande échelle via les paramètres de diagnostic pour Azure Monitor. À l’aide d’une initiative de stratégie, vous pouvez activer la journalisation d’audit pour toutes les ressources prises en charge dans votre environnement Azure.
Activez les journaux de ressources pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent.
Attribuez des stratégies pour activer les journaux de ressources et les envoyer à des destinations en fonction de vos besoins. Envoyez des journaux à Event Hubs pour des systèmes SIEM tiers, ce qui permet des opérations de sécurité continues. Envoyez des journaux aux comptes de stockage pour un stockage à plus long terme ou pour le respect de la conformité réglementaire.
Un ensemble de stratégies et d’initiatives intégrées existe pour diriger les journaux de ressources vers les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage. Les stratégies activent la journalisation d’audit, en envoyant des journaux appartenant au groupe de catégories de journaux d’audit à un Event Hub, un espace de travail Log Analytics ou un compte de stockage. Le effect des stratégies est DeployIfNotExists, qui déploie la stratégie par défaut s’il n’y a pas d’autres paramètres définis.
Déployez des stratégies.
Déployer les stratégies et les initiatives à l’aide du portail, de l’interface CLI, de PowerShell ou des modèles Azure Resource Management
Les étapes suivantes montrent comment appliquer la stratégie à laquelle envoyer des journaux d’audit pour les coffres de clés à un espace de travail Log Analytics.
Dans la page Stratégie, sélectionnez Définitions.
Sélectionnez l’étendue souhaitée. Vous pouvez appliquer une stratégie à un abonnement, à un groupe de ressources ou à une ressource individuelle.
Dans la liste déroulante Type de définition, sélectionnez Stratégie.
Sélectionnez Supervision dans la liste déroulante Catégorie
Saisissez keyvault dans le champ Rechercher.
Sélectionnez la stratégie Activer la journalisation par catégorie pour la stratégie Coffres de clés (microsoft.keyvault/vaults) vers Log Analytics.
Dans la page de définition de stratégie, sélectionnez Attribuer
Sélectionnez l'onglet Paramètres .
Sélectionnez l’espace de travail Log Analytics auquel vous souhaitez envoyer les journaux d’audit.
Sélectionnez l’onglet Correction.
Sous l’onglet correction, sélectionnez la stratégie de coffre de clés dans la liste déroulante Stratégie à corriger.
Cochez la case Emplacement de l’identité managée.
Sous Type d’identité managée, sélectionnez Identité managée affectée par le système.
Sélectionnez Vérifier + créer, puis Créer.
Pour appliquer une stratégie à l’aide de l’interface CLI, utilisez les commandes suivantes :
Attribuez le rôle requis à l’identité créée pour l’attribution de stratégie.
Recherchez le rôle dans la définition de la stratégie en recherchant roleDefinitionIds
Pour appliquer une stratégie à l’aide de PowerShell, utilisez les commandes suivantes :
Configurez votre environnement.
Sélectionnez votre abonnement et définissez votre groupe de ressources
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Obtenez la définition de stratégie et configurez les paramètres de la stratégie. Dans l’exemple ci-dessous, nous affectons la stratégie pour envoyer des journaux keyVault à un espace de travail Log Analytics
La stratégie est visible dans le paramètre de diagnostic des ressources après environ 30 minutes.
Tâches de correction
Les stratégies sont appliquées aux nouvelles ressources lors de leur création. Pour appliquer une stratégie aux ressources existantes, créez une tâche de correction. Les tâches de correction mettent les ressources en conformité avec une stratégie.
Les tâches de correction s’appliquent pour des stratégies spécifiques. Pour les initiatives qui contiennent plusieurs stratégies, créez une tâche de correction pour chaque stratégie de l’initiative dans laquelle vous avez des ressources à mettre en conformité.
Définissez les tâches de correction lorsque vous attribuez la stratégie pour la première fois, ou à n’importe quel stade après l’affectation.
Pour créer une tâche de correction pour les stratégies pendant l’attribution de stratégie, sélectionnez l’onglet Correction de la page Attribuer une stratégie, puis cochez la case Créer une tâche de correction.
Pour créer une tâche de correction une fois la stratégie affectée, sélectionnez votre stratégie affectée dans la liste de la page Attributions de stratégies.
Sélectionnez Corriger.
Suivez l’état de votre tâche de correction sous l’onglet Tâches de correction de la page Correction de la stratégie.
Dans la page Définitions de stratégie, sélectionnez votre étendue.
Sélectionnez Initiative dans la liste déroulante Type de définition.
Sélectionnez Supervision dans la liste déroulante Catégorie.
Saisissez audit dans le champ Rechercher.
Sélectionnez l’option Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans l’initiative Log Analytics.
Dans la page suivante, sélectionnez Attribuer
Sous l’onglet Informations de base de la page Affecter l’initiative, sélectionnez une étendue à laquelle vous souhaitez que l’initiative s’applique.
Entrez un nom dans le champ Nom de l’affectation.
Sélectionnez l’onglet Paramètres.
Les paramètres contiennent les paramètres définis dans la stratégie. Dans ce cas, nous devons sélectionner l’espace de travail Log Analytics auquel nous voulons envoyer les journaux. Pour plus d’informations sur les paramètres individuels de chaque stratégie, consultez Paramètres spécifiques à la stratégie.
Sélectionnez l’espace de travail Log Analytics auquel envoyer vos journaux d’audit.
Sélectionnez Vérifier + créer , puis Créer
Pour vérifier que votre attribution de stratégie ou d’initiative fonctionne, créez une ressource dans l’étendue de l’abonnement ou du groupe de ressources que vous avez définie dans votre attribution de stratégie.
Après 10 minutes, sélectionnez la page Paramètres de diagnostic pour votre ressource.
Votre paramètre de diagnostic apparaît dans la liste avec le nom par défaut setByPolicy-LogAnalytics et le nom de l’espace de travail que vous avez configuré dans la stratégie.
Modifiez le nom par défaut sous l’onglet Paramètres de la page Attribuer une initiative ou une stratégie en désélectionnant la case Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
Définir vos variables d’environnement
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Obtenez la définition de l’initiative. Dans cet exemple, nous allons utiliser Initiative Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge pour ' Log Analytics, ResourceID « /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5 »
Attribuer le rôle requis à l’identité managée système
Recherchez les rôles à attribuer dans l’une des définitions de stratégie de l’initiative en recherchant roleDefinitionIds dans la définition, par exemple :
Créez des tâches de correction pour les stratégies de l’initiative.
Les tâches de correction sont créées par stratégie. Chaque tâche correspond à un definition-reference-id spécifique, spécifié dans l’initiative en tant que policyDefinitionReferenceId. Pour trouver le paramètre definition-reference-id, utilisez la commande suivante :
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Pour créer une tâche de correction pour toutes les stratégies de l’initiative, utilisez l’exemple suivant :
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Paramètres communs
Le tableau suivant décrit les paramètres communs pour chaque ensemble de stratégies.
Paramètre
Description
Valeurs valides
Default
effet
Activer ou désactiver l'exécution de la stratégie
DeployIfNotExists, AuditIfNotExists, Désactivé
DeployIfNotExists
diagnosticSettingName
Nom du paramètre de diagnostic
setByPolicy-LogAnalytics
categoryGroup
Groupe de catégories de diagnostics
aucun, audit, allLogs
audit
Paramètres spécifiques à une stratégie
Paramètres de stratégie Log Analytics
Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics.
Paramètre
Description
Valeurs valides
Default
resourceLocationList
Liste d’emplacements de ressources pour envoyer des journaux à Log Analytics à proximité. "*" sélectionne tous les emplacements
Emplacements pris en charge
*
logAnalytics
Espace de travail Log Analytics
Paramètres de stratégie Event Hubs
Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub.
Paramètre
Description
Valeurs valides
Default
resourceLocation
L’emplacement des ressources doit être le même emplacement que l’espace de noms du hub d’événements
Emplacements pris en charge
eventHubAuthorizationRuleId
ID de règle d’autorisation Event Hub. La règle d’autorisation se trouve au niveau de l’espace de noms du hub d’événements. Par exemple, /subscriptions/{ID d’abonnement}/resourceGroups/{groupe de ressources}/providers/Microsoft.EventHub/namespaces/{espace-noms-Event Hub}/authorizationrules/{règle d’autorisation}
eventHubName
Nom du hub d’événements
Surveillance
Paramètres de stratégie des comptes de stockage
Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage.
Paramètre
Description
Valeurs valides
Default
resourceLocation
L’emplacement des ressources doit être identique à celui du compte de stockage
Emplacements pris en charge
storageAccount
ResourceId du compte de stockage
Ressources prises en charge
Des stratégies de journaux d’audit intégrées pour les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage existent pour les ressources suivantes :