可以使用 Azure Policy 审核已启用 Azure Arc 的服务器的状态,以确保它们符合计算机配置策略。
本教程逐步讲解如何创建和分配一个策略,用于标识已启用 Azure Arc 的服务器中哪些服务器未启用 Microsoft Defender for Servers 。
本教程介绍如何:
- 创建策略分配并为其分配定义
- 识别不符合新策略的资源
- 从不符合的资源中删除策略
先决条件
如果没有 Azure 订阅,请在开始之前创建 一个试用订阅 帐户。
创建策略分配
使用以下过程创建策略分配并分配 应启用适用于服务器的 Azure Defender 策略定义。
通过搜索并选择 “策略”在 Azure 门户中启动 Azure Policy 服务。
在服务菜单中的 “创作”下,选择“ 分配”。 分配是在特定范围内分配的策略。
从“分配”窗格顶部选择“分配策略”。
在 “分配策略 ”页上,选择省略号并选择管理组或订阅,选择 范围 。 (可选)选择资源组。 范围确定强制执行策略分配的资源或资源分组。 然后选择“范围”窗格底部的“选择”。
可以根据 范围排除资源。 排除项 从低于 范围级别的一个级别开始。 排除 项是可选的,因此暂时将其留空。
选择 策略定义 省略号以打开可用定义列表。 Azure Policy 附带了许多可以使用的内置策略定义,例如:
- 强制实施标记及其值
- 应用标记及其值
- 如果缺少标记,则从资源组继承标记
有关可用内置策略的部分列表,请参阅 Azure Policy 示例。
搜索策略定义列表以查找 应启用服务器的 Azure Defender 定义。 选择该策略,然后选择“ 添加”。
分配名称会自动填充所选策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。
对于此示例,我们不需要更改其他选项卡上的任何设置。 选择 “查看 + 创建 ”以查看新的策略分配,然后选择“ 创建”。
现在,你已准备好识别不符合的资源,以了解环境的符合性状态。
识别不符合资源
在 Azure Policy 的服务菜单中,选择 “符合性”。 然后找到 应启用创建的 Azure Defender for Server 策略分配。
任何不符合新分配的现有资源都将在“符合性”状态下显示“不符合”。
根据现有资源评估条件并找到 true 时,这些资源将标记为不符合策略。 下表显示了不同的策略效果如何处理结果符合性状态的条件评估。 尽管 Azure 门户中没有看到评估逻辑,但会显示符合性状态结果。 符合性状态结果为 “合规 ”或 “不合规”。
| 资源状态 | Effect | 策略评估 | 符合性状态 |
|---|---|---|---|
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | True | 不符合 |
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | 假 | 顺从的 |
| New | Audit、AuditIfNotExist* | True | 不符合 |
| New | Audit、AuditIfNotExist* | 假 | 顺从的 |
* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 效果还需要存在条件为 FALSE 才能不符合要求。 如果为 TRUE,IF 条件将触发对相关资源的存在条件的评估。
若要了解详细信息,请参阅 Azure Policy 符合性状态。
清理资源
若要删除创建的分配,请执行以下步骤:
在服务菜单中,选择“符合性”(或在“创作”下选择“分配”)。
找到 应为服务器启用的 Azure Defender 策略分配。
右键单击策略分配,然后选择“ 删除分配”。
后续步骤
在本教程中,你向范围分配了策略定义,并评估了其符合性报告。 策略定义验证范围中的所有资源是否合规,并标识哪些资源不合规。
若要了解如何从计算机监视和查看性能、正在运行的进程和依赖项,请继续学习教程: