Logboekregistratie instellen voor het bewaken van logische apps in Microsoft Defender for Cloud

  • Artikel
  • 3 minuten om te lezen

Wanneer u uw Logic Apps inMicrosoft Azure Security Center bewaakt, kunt u controleren of uw logische apps het standaardbeleid volgen. Azure toont de status van een Logic Apps resource nadat u logboekregistratie hebt ingeschakeld en de bestemming van de logboeken correct hebt ingesteld. In dit artikel wordt uitgelegd hoe u diagnostische logboekregistratie configureert en ervoor zorgt dat al uw logische apps in orde zijn.

Tip

Als u de huidige status voor de Logic Apps-service wilt vinden, bekijkt u de Azure-statuspaginamet de status voor verschillende producten en services in elke beschikbare regio.

Vereisten

registratie in het diagnoselogboek inschakelen

Voordat u de status van de resource voor uw logische apps kunt bekijken, moet u eerst diagnostische logboekregistratie instellen. Als u al een Log Analytics-werkruimte hebt, kunt u logboekregistratie inschakelen wanneer u uw logische app maakt of in bestaande logische apps.

Tip

De standaardaanbeveling is om diagnostische logboeken in te Logic Apps. U kunt deze instelling echter beheren voor uw logische apps. Wanneer u diagnostische logboeken voor uw logische apps inschakelen, kunt u de informatie gebruiken om beveiligingsincidenten te analyseren.

Instelling voor diagnostische logboekregistratie controleren

Als u niet zeker weet of diagnostische logboekregistratie is ingeschakeld voor uw logische apps, controleert u het volgende in Defender for Cloud:

  1. Meld u aan bij de Azure-portal.
  2. Typ en selecteer Defender for Cloud in de zoekbalk.
  3. Selecteer in het dashboardmenu Workloadbeveiliging onder Algemeen de optie Aanbevelingen.
  4. Zoek en selecteer in de tabel met beveiligingssuggesties Auditing en logboekregistratie inschakelen diagnostische logboeken in Logic Apps moeten worden ingeschakeld > in de tabel met beveiligingscontroles.
  5. Vouw op de aanbevelingspagina de sectie Herstelstappen uit en bekijk de opties. U kunt de Logic Apps inschakelen door de optie snelle oplossing. of door de handmatige herstelinstructies te volgen.

De status van logische apps weergeven

Nadat u diagnostische logboekregistratie hebt ingeschakeld,ziet u de status van uw logische apps in Defender for Cloud.

  1. Meld u aan bij de Azure-portal.

  2. Typ en selecteer Defender for Cloud in de zoekbalk.

  3. Selecteer in het dashboardmenu Workloadbeveiliging onder Algemeen de optie Inventaris.

  4. Filter op de inventarispagina de lijst met assets om alleen de Logic Apps weer te geven. Selecteer logische apps voor resourcetypen in het > paginamenu.

    Het teller Resources met slechte status geeft het aantal logische apps weer dat door Defender for Cloud als niet in orde wordt gezien.

  5. Bekijk in de lijst met logic apps-resources de Aanbevelingen kolom. Als u de statusdetails voor een specifieke logische app wilt bekijken, selecteert u een resourcenaam of selecteert u de knop met het beletsel (...) > Resource weergeven.

  6. Als u potentiƫle problemen met de resource-status wilt oplossen, volgt u de stappen die worden vermeld voor uw logische apps.

Als diagnostische logboekregistratie al is ingeschakeld, is er mogelijk een probleem met de bestemming voor uw logboeken. Bekijk hoe u problemen met verschillende diagnostische logboekregistratiebestemmingen kunt oplossen.

Probleem met diagnostische logboekregistratie voor logische apps opgelost

Als uw logische apps worden vermeld als niet in orde in Defender for Cloud,opent u uw logische app in de codeweergave in de Azure Portal of via de Azure CLI. Controleer vervolgens de doelconfiguratie voor uw diagnostische logboeken: Azure Log Analytics, Azure Event Hubsof een Azure Storage account.

Log Analytics- en Event Hubs bestemmingen

Als u Log Analytics of Event Hubs als bestemming voor uw diagnostische Logic Apps gebruikt, controleert u de volgende instellingen.

  1. Controleer of het veld diagnostische instellingen is ingesteld op om te controleren of u diagnostische logboeken logs.enabled hebt true ingeschakeld.
  2. Controleer of het veld is ingesteld op om te bevestigen dat u in plaats daarvan geen opslagaccount als doel storageAccountId hebt false ingesteld.

Bijvoorbeeld:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
]

Storage accountdoel

Als u een opslagaccount gebruikt als doel voor uw Logic Apps diagnostische logboeken, controleert u de volgende instellingen.

  1. Controleer of het veld Diagnostische instellingen is ingesteld op om te controleren of u diagnostische logboeken logs.enabled hebt true ingeschakeld.
  2. Controleer of het veld is ingesteld op om te bevestigen dat u een bewaarbeleid hebt ingeschakeld voor uw diagnostische retentionPolicy.enabled true logboeken.
  3. Als u wilt bevestigen dat u een bewaartijd van 0-365 dagen hebt ingesteld, controleert u of het veld is ingesteld op een getal tussen 0 en retentionPolicy.days 365.
"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]