Criar um perfil personalizado no Azure Automanage para VMs

  • Artigo

O Azure Automanage for Virtual Machines inclui perfis de práticas recomendadas padrão que não podem ser editados. No entanto, se precisar de mais flexibilidade, você pode escolher o conjunto de serviços e configurações criando um perfil personalizado.

O Automanage suporta a alternância de serviços ON e OFF. Atualmente, também dá suporte à personalização de configurações no Backup do Azure e no Microsoft Antimalware. Você também pode especificar um espaço de trabalho de análise de log existente. Além disso, apenas para máquinas Windows, você pode modificar os modos de auditoria para as linhas de base de segurança do Azure na Configuração de Convidado.

A gestão automática permite-lhe etiquetar os seguintes recursos no perfil personalizado:

  • Grupo de Recursos
  • Conta de Automatização
  • Área de trabalho do Log Analytics
  • Cofre de Recuperação

Confira o modelo ARM para modificar essas configurações.

Criar um perfil personalizado no portal do Azure

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar um perfil personalizado

  1. Na barra de pesquisa, procure e selecione Automanage – Azure machine best practices.

  2. Selecione Perfis de configuração no índice.

  3. Selecione o botão Criar para criar seu perfil personalizado

  4. Na folha Criar novo perfil, preencha os detalhes:

    1. Nome do Perfil
    2. Subscrição
    3. Grupo de Recursos
    4. Região

    Fill out custom profile details.

  5. Ajuste o perfil com os serviços e configurações desejados e selecione Criar.

Criar um perfil personalizado usando os Modelos do Azure Resource Manager

O modelo ARM a seguir cria um perfil personalizado de gerenciamento automático. Os detalhes sobre o modelo ARM e as etapas sobre como implantar estão localizados na seção de implantação do modelo ARM.

Nota

Se você quiser usar um espaço de trabalho de análise de log específico, especifique a ID do espaço de trabalho assim: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Implantação de modelo ARM

Este modelo ARM cria um perfil de configuração personalizado que você pode atribuir à sua máquina especificada.

O customProfileName valor é o nome do perfil de configuração personalizado que você gostaria de criar.

O location valor é a região onde você gostaria de armazenar esse perfil de configuração personalizado. Observe que você pode atribuir esse perfil a qualquer máquina suportada em qualquer região.

O azureSecurityBaselineAssignmentType é o modo de auditoria que você pode escolher para a linha de base de segurança do servidor do Azure. As suas opções são:

  • ApplyAndAutoCorrect : esta configuração aplica a linha de base de segurança do Azure por meio da extensão Configuração de Convidado e, se alguma configuração dentro da linha de base se desviar, corrigiremos automaticamente a configuração para que ela permaneça compatível.
  • ApplyAndMonitor : esta configuração aplica a linha de base de segurança do Azure por meio da extensão Configuração de Convidado quando você atribui esse perfil pela primeira vez a cada máquina. Depois de aplicado, o serviço de Configuração de Convidado monitorará a linha de base do servidor e relatará qualquer desvio do estado desejado. No entanto, ele não será auto-remdiate.
  • Auditoria: esta configuração instala a linha de base de segurança do Azure usando a extensão Configuração de Convidado. Você pode ver onde sua máquina está fora de conformidade com a linha de base, mas a não conformidade não é corrigida automaticamente.

Você também pode especificar um espaço de trabalho de análise de log existente adicionando essa configuração à seção de configuração das propriedades abaixo:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Especifique seu espaço de trabalho existente na LogAnalytics/Workspace linha. Defina a LogAnalytics/Reprovision configuração como true se quiser que esse espaço de trabalho de análise de log seja usado em todos os casos. Qualquer máquina com esse perfil personalizado usa esse espaço de trabalho, mesmo que já esteja conectada a um. Por padrão, o LogAnalytics/Reprovision é definido como false. Se a sua máquina já estiver conectada a um espaço de trabalho, esse espaço de trabalho ainda será usado. Se ele não estiver conectado a um espaço de trabalho, o espaço de trabalho especificado em LogAnalytics\Workspace será usado.

Além disso, você pode adicionar tags aos recursos especificados no perfil personalizado, como abaixo:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

O Tags/Behavior pode ser definido como Preservar ou Substituir. Se o recurso que você está marcando já tiver a mesma chave de marca no par chave/valor, você poderá substituir essa chave pelo valor especificado no perfil de configuração usando o comportamento Substituir . Por padrão, o comportamento é definido como Preserve, o que significa que a chave de marca que já está associada a esse recurso é retida e não substituída pelo par chave/valor especificado no perfil de configuração.

Siga estas etapas para implantar o modelo ARM:

  1. Salve este modelo ARM como azuredeploy.json
  2. Execute esta implantação de modelo ARM com az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Forneça os valores para customProfileName, location e azureSecurityBaselineAssignmentType quando solicitado
  4. Você está pronto para implantar

Como em qualquer modelo ARM, é possível fatorar os parâmetros em um arquivo separado azuredeploy.parameters.json e usá-lo como argumento ao implantar.

Próximos passos

Obtenha respostas às perguntas mais frequentes nas nossas Perguntas Frequentes.

Perguntas Mais Frequentes