Konfigurera loggning för att övervaka logikappar i Microsoft Defender för molnet

Artikel
11/12/2021
3 minuter för att läsa

När du övervakar dina Logic Apps i Microsoft Azure Security Centerkan du granska om dina logikappar följer standardprinciperna. Azure visar hälsostatusen för en Logic Apps resurs när du har aktivera loggning och korrekt konfigurerat loggarna mål. Den här artikeln förklarar hur du konfigurerar diagnostisk loggning och ser till att alla dina logikappar är felfria resurser.

Tips

Om du vill hitta aktuell status för Logic Apps-tjänsten kan du gå till azure-statussidan, som visar status för olika produkter och tjänster i varje tillgänglig region.

Förutsättningar

En Azure-prenumeration. Om du inte har någon prenumeration kan du skapa ett kostnadsfritt Azure-konto innan du börjar.
Befintliga logikappar med diagnostikloggning aktiverat.
En Log Analytics-arbetsyta som krävs för att aktivera loggning för logikappen. Om du inte har en arbetsyta skapar du först din arbetsyta.

Aktivera diagnostisk loggning

Innan du kan visa resurshälsostatusen för dina logikappar måste du först konfigurera diagnostisk loggning. Om du redan har en Log Analytics-arbetsyta kan du aktivera loggning när du skapar logikappen eller på befintliga logikappar.

Tips

Standardrekommendationen är att aktivera diagnostikloggar för Logic Apps. Du styr dock den här inställningen för dina logikappar. När du aktiverar diagnostikloggar för dina logikappar kan du använda informationen för att analysera säkerhetsincidenter.

Kontrollera inställningen för diagnostisk loggning

Om du inte är säker på om dina logikappar har diagnostisk loggning aktiverat kan du kontrollera i Defender för molnet:

Logga in på Azure-portalen.
I sökfältet anger och väljer du Defender för Molnet.
På menyn på instrumentpanelen för arbetsbelastningsskydd går du till Allmänt och väljer Rekommendationer.
I tabellen med säkerhetsförslag hittar och väljer du Aktivera gransknings- och loggningsdiagnostikloggar i Logic Apps ska aktiveras > i tabellen med säkerhetskontroller.
På rekommendationssidan expanderar du avsnittet Reparationssteg och granskar alternativen. Du kan aktivera Logic Apps diagnostik genom att välja Snabbåtgärd! eller genom att följa de manuella reparationsanvisningarna.

Visa logikappars hälsostatus

När du har aktiverat diagnostisk loggningkan du se hälsostatusen för dina logikappar i Defender för molnet.

Logga in på Azure-portalen.
I sökfältet anger och väljer du Defender för Molnet.
På menyn på instrumentpanelen för arbetsbelastningsskydd går du till Allmänt och väljer Inventering.
På inventeringssidan filtrerar du listan över tillgångar för att endast visa Logic Apps resurser. I sidmenyn väljer du Logikappar för > resurstyper.

Räknaren Ej felfria resurser visar antalet logikappar som Defender for Cloud anser vara felaktiga.
I listan över logic apps-resurser granskar du Rekommendationer kolumn. Om du vill granska hälsoinformationen för en specifik logikapp väljer du ett resursnamn eller väljer ellipsknappen (...) > Visa resurs.
Följ anvisningarna för dina logikappar om du vill åtgärda eventuella problem med resurshälsan.

Om diagnostisk loggning redan är aktiverad kan det finnas ett problem med målet för loggarna. Läs om hur du åtgärdar problem med olika diagnostikloggningsmål.

Åtgärda diagnostisk loggning för logikappar

Om dina logikappar visas somfelaktiga i Defender for Cloud öppnar du logikappen i kodvyn i Azure Portal eller via Azure CLI. Kontrollera sedan målkonfigurationen för dina diagnostikloggar: Azure Log Analytics, Azure Event Hubseller ett Azure Storage konto.

Log Analytics och Event Hubs mål

Om du använder Log Analytics eller Event Hubs som mål för Logic Apps diagnostikloggar kontrollerar du följande inställningar.

Kontrollera att fältet diagnostikinställningar är inställt på för att bekräfta att du har aktiverat logs.enabled diagnostikloggar. true
Kontrollera att fältet är inställt på för att bekräfta att du inte har angett något lagringskonto storageAccountId som mål i false stället.

Ett exempel:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
]

Storage målkonto

Om du använder ett lagringskonto som mål för Logic Apps diagnostikloggar kontrollerar du följande inställningar.

Kontrollera att fältet diagnostikinställningar är inställt på för att bekräfta att logs.enabled du har aktiverat diagnostikloggar. true
Kontrollera att fältet är inställt på för att bekräfta att du har aktiverat en retentionPolicy.enabled kvarhållningsprincip för dina diagnostikloggar. true
Kontrollera att fältet är inställt på ett tal mellan 0 och 365 för att bekräfta att du anger en kvarhållningstid på retentionPolicy.days 0–365 dagar.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]