Stratégies intégrées pour Azure Monitor

Les stratégies et les initiatives de stratégie fournissent une méthode simple pour activer la journalisation à grande échelle via les paramètres de diagnostic pour Azure Monitor. À l’aide d’une initiative de stratégie, vous pouvez activer la journalisation d’audit pour toutes les ressources prises en charge dans votre environnement Azure.

Activez les journaux de ressources pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Attribuez des stratégies pour activer les journaux de ressources et les envoyer à des destinations en fonction de vos besoins. Envoyez des journaux à Event Hubs pour des systèmes SIEM tiers, ce qui permet des opérations de sécurité continues. Envoyez des journaux aux comptes de stockage pour un stockage à plus long terme ou pour le respect de la conformité réglementaire.

Un ensemble de stratégies et d’initiatives intégrées existe pour diriger les journaux de ressources vers les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage. Les stratégies activent la journalisation d’audit, en envoyant des journaux appartenant au groupe de catégories de journaux d’audit à un Event Hub, un espace de travail Log Analytics ou un compte de stockage. Le effect des stratégies est DeployIfNotExists, qui déploie la stratégie par défaut s’il n’y a pas d’autres paramètres définis.

Déployez des stratégies.

Déployer les stratégies et les initiatives à l’aide du portail, de l’interface CLI, de PowerShell ou des modèles Azure Resource Management

Azure portal

Les étapes suivantes montrent comment appliquer la stratégie à laquelle envoyer des journaux d’audit pour les coffres de clés à un espace de travail Log Analytics.

1. Dans la page Stratégie, sélectionnez Définitions.

2. Sélectionnez l’étendue souhaitée. Vous pouvez appliquer une stratégie à un abonnement, à un groupe de ressources ou à une ressource individuelle.

3. Dans la liste déroulante Type de définition, sélectionnez Stratégie.

4. Sélectionnez Supervision dans la liste déroulante Catégorie

5. Saisissez keyvault dans le champ Rechercher.

6. Sélectionnez la stratégie Activer la journalisation par catégorie pour la stratégie Coffres de clés (microsoft.keyvault/vaults) vers Log Analytics.

7. Dans la page de définition de stratégie, sélectionnez Attribuer

8. Sélectionnez l'onglet Paramètres .

9. Sélectionnez l’espace de travail Log Analytics auquel vous souhaitez envoyer les journaux d’audit.

10. Sélectionnez l’onglet Correction.

11. Sous l’onglet correction, sélectionnez la stratégie de coffre de clés dans la liste déroulante Stratégie à corriger.

12. Cochez la case Emplacement de l’identité managée.

13. Sous Type d’identité managée, sélectionnez Identité managée affectée par le système.

14. Sélectionnez Vérifier + créer, puis Créer.

INTERFACE DE LIGNE DE COMMANDE

Pour appliquer une stratégie à l’aide de l’interface CLI, utilisez les commandes suivantes :

1. Créer une attribution de stratégie à l’aide de az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Par exemple, pour appliquer la stratégie pour envoyer des journaux d’audit à un espace de travail Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Attribuez le rôle requis à l’identité créée pour l’attribution de stratégie. Recherchez le rôle dans la définition de la stratégie en recherchant roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Attribuez le rôle requis à l’aide de az policy assignment identity assign :

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Par exemple :

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Déclenchez une analyse pour rechercher des ressources existantes à l’aide de az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Créez une tâche de correction pour appliquer la stratégie aux ressources existantes à l’aide de az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Par exemple,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment  policy-assignment-1
   

Pour plus d’informations sur l’attribution de stratégie à l’aide de l’interface CLI, consultez Référence Azure CLI - az policy assignment

PowerShell

Pour appliquer une stratégie à l’aide de PowerShell, utilisez les commandes suivantes :

1. Configurez votre environnement. Sélectionnez votre abonnement et définissez votre groupe de ressources

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenez la définition de stratégie et configurez les paramètres de la stratégie. Dans l’exemple ci-dessous, nous affectons la stratégie pour envoyer des journaux keyVault à un espace de travail Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Affecter la stratégie

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Attribuer le ou les rôles requis à l’identité managée affectée par le système

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Recherchez la conformité, puis créez une tâche de correction pour forcer la conformité des ressources existantes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Vérifier la conformité

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant , ResourceID
   

La stratégie est visible dans le paramètre de diagnostic des ressources après environ 30 minutes.

Tâches de correction

Les stratégies sont appliquées aux nouvelles ressources lors de leur création. Pour appliquer une stratégie aux ressources existantes, créez une tâche de correction. Les tâches de correction mettent les ressources en conformité avec une stratégie.

Les tâches de correction s’appliquent pour des stratégies spécifiques. Pour les initiatives qui contiennent plusieurs stratégies, créez une tâche de correction pour chaque stratégie de l’initiative dans laquelle vous avez des ressources à mettre en conformité.

Définissez les tâches de correction lorsque vous attribuez la stratégie pour la première fois, ou à n’importe quel stade après l’affectation.

Pour créer une tâche de correction pour les stratégies pendant l’attribution de stratégie, sélectionnez l’onglet Correction de la page Attribuer une stratégie, puis cochez la case Créer une tâche de correction.

Pour créer une tâche de correction une fois la stratégie affectée, sélectionnez votre stratégie affectée dans la liste de la page Attributions de stratégies.

Sélectionnez Corriger. Suivez l’état de votre tâche de correction sous l’onglet Tâches de correction de la page Correction de la stratégie.

Pour plus d’informations sur les tâches de correction, consultez Corriger les ressources non conformes.

Attribuer des initiatives

Les initiatives sont des collections de stratégies. Il existe trois initiatives pour les paramètres de diagnostic Azure Monitor :

• Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Log Analytics
• Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Log Analytics
• Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge vers le stockage

Dans cet exemple, nous affectons une initiative pour envoyer des journaux d’audit à un espace de travail Log Analytics.

Azure portal

1. Dans la page Définitions de stratégie, sélectionnez votre étendue.

2. Sélectionnez Initiative dans la liste déroulante Type de définition.

3. Sélectionnez Supervision dans la liste déroulante Catégorie.

4. Saisissez audit dans le champ Rechercher.

5. Sélectionnez l’option Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans l’initiative Log Analytics.

6. Dans la page suivante, sélectionnez Attribuer

7. Sous l’onglet Informations de base de la page Affecter l’initiative, sélectionnez une étendue à laquelle vous souhaitez que l’initiative s’applique.

8. Entrez un nom dans le champ Nom de l’affectation.

9. Sélectionnez l’onglet Paramètres.

   Les paramètres contiennent les paramètres définis dans la stratégie. Dans ce cas, nous devons sélectionner l’espace de travail Log Analytics auquel nous voulons envoyer les journaux. Pour plus d’informations sur les paramètres individuels de chaque stratégie, consultez Paramètres spécifiques à la stratégie.

10. Sélectionnez l’espace de travail Log Analytics auquel envoyer vos journaux d’audit.

11. Sélectionnez Vérifier + créer , puis Créer

Pour vérifier que votre attribution de stratégie ou d’initiative fonctionne, créez une ressource dans l’étendue de l’abonnement ou du groupe de ressources que vous avez définie dans votre attribution de stratégie.

Après 10 minutes, sélectionnez la page Paramètres de diagnostic pour votre ressource. Votre paramètre de diagnostic apparaît dans la liste avec le nom par défaut setByPolicy-LogAnalytics et le nom de l’espace de travail que vous avez configuré dans la stratégie.

Modifiez le nom par défaut sous l’onglet Paramètres de la page Attribuer une initiative ou une stratégie en désélectionnant la case Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

PowerShell

1. Définir vos variables d’environnement

   # Set up  your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenez la définition de l’initiative. Dans cet exemple, nous allons utiliser Initiative Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge pour ' Log Analytics, ResourceID « /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5 »

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Définissez un nom d’affectation et configurez les paramètres. Pour cette initiative, les paramètres incluent l’ID d’espace de travail Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Attribuer l’initiative à l’aide des paramètres

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Attribuez le rôle Contributor à l’identité managée affectée par le système. Pour d’autres initiatives, vérifiez quels rôles sont requis.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Analysez la conformité à la stratégie. Le retour de la commande Start-AzPolicyComplianceScan prend quelques minutes.

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtenir la liste des ressources à corriger et les paramètres requis en appelant Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Pour chaque type de ressource comprenant des ressources non conformes, démarrez une tâche de correction.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Vérifiez l’état de conformité lorsque les tâches de correction sont terminées.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant , ResourceID
   

Vous pouvez obtenir les détails de votre affectation de stratégie à l’aide de la commande suivante :

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

INTERFACE DE LIGNE DE COMMANDE

1. Connectez-vous à votre compte Azure à l’aide de la commande az login.

2. Sélectionnez l’abonnement dans lequel vous souhaitez appliquer l’initiative de stratégie à l’aide de la commande az account set.

3. Attribuez l’initiative à l’aide de az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Par exemple :

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Attribuer le rôle requis à l’identité managée système

   Recherchez les rôles à attribuer dans l’une des définitions de stratégie de l’initiative en recherchant roleDefinitionIds dans la définition, par exemple :

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Attribuez le rôle requis à l’aide de az policy assignment identity assign :

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Par exemple :

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Créez des tâches de correction pour les stratégies de l’initiative.

   Les tâches de correction sont créées par stratégie. Chaque tâche correspond à un definition-reference-id spécifique, spécifié dans l’initiative en tant que policyDefinitionReferenceId. Pour trouver le paramètre definition-reference-id, utilisez la commande suivante :

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corriger les ressources à l’aide de az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Par exemple :

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Pour créer une tâche de correction pour toutes les stratégies de l’initiative, utilisez l’exemple suivant :

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Paramètres communs

Le tableau suivant décrit les paramètres communs pour chaque ensemble de stratégies.

Paramètre	Description	Valeurs valides	Default
effet	Activer ou désactiver l'exécution de la stratégie	DeployIfNotExists, AuditIfNotExists, Désactivé	DeployIfNotExists
diagnosticSettingName	Nom du paramètre de diagnostic		setByPolicy-LogAnalytics
categoryGroup	Groupe de catégories de diagnostics	aucun, audit, allLogs	audit

Paramètres spécifiques à une stratégie

Paramètres de stratégie Log Analytics

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics.

Paramètre	Description	Valeurs valides	Default
resourceLocationList	Liste d’emplacements de ressources pour envoyer des journaux à Log Analytics à proximité. "*" sélectionne tous les emplacements	Emplacements pris en charge	*
logAnalytics	Espace de travail Log Analytics

Paramètres de stratégie Event Hubs

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub.

Paramètre	Description	Valeurs valides	Default
resourceLocation	L’emplacement des ressources doit être le même emplacement que l’espace de noms du hub d’événements	Emplacements pris en charge
eventHubAuthorizationRuleId	ID de règle d’autorisation Event Hub. La règle d’autorisation se trouve au niveau de l’espace de noms du hub d’événements. Par exemple, /subscriptions/{ID d’abonnement}/resourceGroups/{groupe de ressources}/providers/Microsoft.EventHub/namespaces/{espace-noms-Event Hub}/authorizationrules/{règle d’autorisation}
eventHubName	Nom du hub d’événements		Surveillance

Paramètres de stratégie des comptes de stockage

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage.

Paramètre	Description	Valeurs valides	Default
resourceLocation	L’emplacement des ressources doit être identique à celui du compte de stockage	Emplacements pris en charge
storageAccount	ResourceId du compte de stockage

Ressources prises en charge

Des stratégies de journaux d’audit intégrées pour les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage existent pour les ressources suivantes :

• microsoft.agfoodplatform/farmbeats
• microsoft.apimanagement/service
• microsoft.appconfiguration/configurationstores
• microsoft.attestation/attestationproviders
• microsoft.automation/automationaccounts
• microsoft.avs/privateclouds
• microsoft.cache/redis
• microsoft.cdn/profiles
• microsoft.cognitiveservices/accounts
• microsoft.containerregistry/registries
• microsoft.devices/iothubs
• microsoft.eventgrid/topics
• microsoft.eventgrid/domains
• microsoft.eventgrid/partnernamespaces
• microsoft.eventhub/namespaces
• microsoft.keyvault/vaults
• microsoft.keyvault/managedhsms
• microsoft.machinelearningservices/workspaces
• microsoft.media/mediaservices
• microsoft.media/videoanalyzers
• microsoft.netapp/netappaccounts/capacitypools/volumes
• microsoft.network/publicipaddresses
• microsoft.network/virtualnetworkgateways
• microsoft.network/p2svpngateways
• microsoft.network/frontdoors
• microsoft.network/bastionhosts
• microsoft.operationalinsights/workspaces
• microsoft.purview/accounts
• microsoft.servicebus/namespaces
• microsoft.signalrservice/signalr
• microsoft.signalrservice/webpubsub
• microsoft.sql/servers/databases
• microsoft.sql/managedinstances

Étapes suivantes

• Créer des paramètres de diagnostic à grande échelle à l’aide d’Azure Policy
• Définitions intégrées d’Azure Policy pour Azure Monitor
• Vue d’ensemble d’Azure Policy
• Azure Enterprise Policy en tant que code