Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы понять, соответствуют ли ресурсы требованиям в Azure, прежде всего нужно определить их состояние. Политика Azure поддерживает аудит состояния сервера с поддержкой Azure Arc с помощью политик конфигурации компьютера. Определения конфигурации машины в политике Azure могут проверять или применять настройки внутри машины.
В этом руководстве описан процесс создания и назначения политики, чтобы определить, какие серверы с поддержкой Azure Arc не включены в Microsoft Defender для серверов .
Из этого руководства вы узнаете, как выполнять следующие задачи:
- Создайте назначение политики и назначьте ему определение
- Определение ресурсов, которые не соответствуют новой политике
- Удалите политику из несоответствующих ресурсов
Предварительные условия
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Создание назначения политики
Используйте следующую процедуру, чтобы создать назначение политики и назначить определение политики Azure Defender для серверов должен быть включен.
Запустите службу политики Azure на портале Azure, найдите и выберите политику.
В меню сервиса в разделе "Создание" выберите "Назначения". Назначение — это политика, назначенная для выполнения в определенной области.
Выберите «Назначить политику» в верхней части области «Назначения».
На странице "Назначение политики" выберите Область, нажав на многоточие и выбрав группу управления или подписку. Либо выберите группу ресурсов. Область определяет, к каким ресурсам или группировкам ресурсов применяется назначение политики. Затем выберите Выбрать в нижней части области Scope.
Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.
Выберите многоточие рядом с пунктом Определение политики, чтобы открыть список доступных определений. Политика Azure поставляется со многими встроенными определениями политик, которые можно использовать, например:
- Принудительное применение тега и его значения
- примените тег и его значение
- Унаследуйте тег из группы ресурсов, если он отсутствует.
Для частичного списка доступных встроенных политик см. примеры политик Azure.
Выполните поиск по списку определений политик, чтобы найти определение Azure Defender для серверов должен быть включен. Выберите политику и нажмите кнопку "Добавить".
Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. В этом примере оставьте имя политики как есть и не изменяйте остальные параметры на странице.
В этом примере нам не нужно изменять параметры на других вкладках. Нажмите «Просмотр и создание», чтобы просмотреть назначенную политику, а затем нажмите «Создать».
Теперь все готово к обнаружению ресурсов, которые не соответствуют требованиям, что позволит оценить состояние соответствия в среде.
Выявление несоответствующих ресурсов
В меню службы выберите "Соответствие". Затем найдите назначение политики Azure Defender для серверов, которое вы создали.
Существующие ресурсы, которые не соответствуют новому назначению, отображаются в разделе Несоответствующие ресурсы.
Если условие оценивается по имеющимся ресурсам и найдено верно, эти ресурсы помечены как не соответствующие политике. В следующей таблице показано, как действуют разные политики в сочетании с оценкой условий для определения итогового состояния соответствия. Хотя логика оценки не отображается на портале Azure, там доступны результаты, полученные при оценке состояния соответствия. Результат проверки на соответствие: "Соответствует" или "Не соответствует".
| Состояние ресурса | Действие | Оценка политики | Состояние соответствия |
|---|---|---|---|
| Существует | Отклонить, Аудит, Добавить*, РазвернутьЕслиНеСуществует*, АудитЕслиНеСуществует* | Истина | Не соответствует |
| Существует | Запретить, Аудит, Добавить*, РазвернутьЕслиНеСуществует*, АудитЕслиНеСуществует* | Неверно | Соответствует |
| Новый | Audit, AuditIfNotExist* | Истина | Не соответствует |
| Новый | Audit, AuditIfNotExist* | Ложь | Соответствует |
* Эффекты Append, DeployIfNotExist и AuditIfNotExist требуют, чтобы инструкция IF была TRUE. Эффекты также требуют, чтобы условие существования FALSE было несоответствующим. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.
Очистка ресурсов
Чтобы удалить созданное назначение, выполните следующие действия:
- В меню службы выберите Соответствие (или выберите Назначения в разделе Разработка).
- Найдите назначение политики, которое вы создали для Azure Defender для серверов должно быть включено.
- Щелкните правой кнопкой мыши назначение политики, а затем выберите "Удалить назначение".
Следующие шаги
В этом учебнике вы назначили определение политики для области действия и оценили его отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют. Теперь вы готовы отслеживать серверы, используемые для Azure Arc, включив VM Insights.
Чтобы узнать, как отслеживать и просматривать производительность, выполняющийся процесс и зависимости с вашего компьютера, перейдите к учебнику: