Configurar o registro em log para monitorar aplicativos lógicos no Microsoft Defender para Nuvem

Ao monitorar os recursos dos Aplicativos Lógicos do Azure na Central de Segurança do Microsoft Azure, você pode revisar se os aplicativos lógicos estão seguindo as políticas padrão. O Azure mostra o status de integridade de um recurso dos Aplicativos Lógicos do Azure depois que você habilita o log e configura corretamente o destino dos logs. Este artigo explica como configurar o log de diagnósticos e certificar-se de que todos os seus aplicativos lógicos são recursos íntegros.

Pré-requisitos

• Uma assinatura do Azure. Caso não tenha uma assinatura, crie uma conta Azure gratuita.

• Aplicativos lógicos existentes com log de diagnóstico habilitado.

• Um espaço de trabalho Log Analytics, que é necessário para habilitar o registro em log para seu aplicativo lógico. Se você não tiver um workspace, selecione Criar novo Workspace.

Habilitar registro em log de diagnóstico

Antes de poder exibir o status de integridade do recurso para seus aplicativos lógicos, primeiro você deve Configurar o log de diagnóstico. Se você já tiver um espaço de trabalho Log Analytics, poderá habilitar o registro em log ao criar seu aplicativo lógico ou em aplicativos lógicos existentes.

Configurações de registro em log de diagnóstico

Se você não tiver certeza se seus aplicativos lógicos têm o log de diagnóstico habilitado, você pode fazer check-in no Defender para Nuvem:

1. Entre no portal do Azure.
2. Na barra de pesquisa, insira e selecione Defender para Nuvem.
3. No menu do painel de proteção de carga de trabalho, em Geral,selecione Recomendações.
4. Na tabela de sugestões de segurança, localize e selecione Habilitar auditoria e log>Logs de diagnóstico em Aplicativos Lógicos devem ser habilitados na tabela de controles de segurança.
5. Na página recomendação, expanda a seção etapas de correção e examine as opções. Você pode habilitar o diagnóstico dos Aplicativos Lógicos do Azure selecionando o botão Correção Rápida! ou seguindo as instruções de correção manual.

Exibir o status de integridade dos aplicativos lógicos

Depois de habilitar o log de diagnóstico, você poderá ver o status de integridade dos seus aplicativos lógicos no Defender para Nuvem.

1. Entre no portal do Azure.

2. Na barra de pesquisa, insira e selecione Defender para Nuvem.

3. No menu do painel de proteção de carga de trabalho, em Geral,selecione Inventário.

4. Na página do inventário, filtre a lista de ativos para mostrar somente os recursos dos Aplicativos Lógicos do Azure. No menu da página, selecione Tipos de recursos>aplicativos lógicos.

   O contador Recursos não íntegros mostra o número de aplicativos lógicos que o Defender para Nuvem considera não íntegros.

5. Na lista de recursos de aplicativos lógicos, examine a coluna Recomendações. Para examinar os detalhes de integridade de um aplicativo lógico específico, selecione um nome de recurso ou selecione o botão de reticências (...) >Exibir recurso.

6. Para corrigir quaisquer possíveis problemas de integridade de recursos, siga as etapas listadas para seus aplicativos lógicos.

Se o log de diagnóstico já estiver habilitado, poderá haver um problema com o destino de seus logs. Examine como corrigir problemas com diferentes destinos de log de diagnóstico.

Corrigir o log de diagnóstico para aplicativos lógicos

Se seus aplicativos lógicos estiverem listados como não íntegros no Defender para Nuvem, abra seu aplicativo lógico na exibição de código no portal do Azure ou por meio do CLI do Azure. Em seguida, verifique a configuração de destino dos seus logs de diagnóstico: Azure log Analytics, Hubs de Eventos do Azureou uma conta de Armazenamento do Azure.

Destinos no Log Analytics e no Hubs de Eventos

Se você usar o Log Analytics nem os Hubs de Eventos como o destino para os logs de diagnóstico dos Aplicativos Lógicos do Azure, verifique as configurações a seguir.

1. Para confirmar que você habilitou os logs de diagnóstico, verifique se o campo configurações de diagnóstico logs.enabled está definido como true.
2. Para confirmar que você não definiu uma conta de armazenamento como o destino, verifique se o storageAccountId campo está definido como false.

Por exemplo:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

Conta de armazenamento de destino

Se você usar uma conta de armazenamento como o destino para os logs de diagnóstico dos Aplicativos Lógicos do Azure, verifique as configurações a seguir.

1. Para confirmar que você habilitou os logs de diagnóstico, verifique se o campo configurações de diagnóstico logs.enabled está definido como true.
2. Para confirmar que você habilitou uma política de retenção para seus logs de diagnóstico, verifique se o retentionPolicy.enabled campo está definido como true.
3. Para confirmar que você definiu um tempo de retenção de 0-365 dias, verifique se o retentionPolicy.days campo está definido para um número inclusivamente entre 0 e 365.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]