若要了解 Azure 中的符合性,第一步是确定资源的状态。 Azure Policy 支持使用计算机配置策略审核已启用 Azure Arc 的服务器的状态。 Azure Policy 的计算机配置定义可以在计算机内审核或应用设置。
本教程逐步讲解如何创建和分配策略,以确定哪些已启用 Azure Arc 的服务器未启用 defender for Servers Microsoft 。
本教程介绍以下操作:
- 创建策略分配并为其分配定义
- 识别不符合新策略的资源
- 从不合规的资源中删除策略
如果没有 Azure 订阅,请在开始前创建一个试用版订阅帐户。
使用以下过程创建策略分配,并分配策略定义“应启用 Azure Defender for servers”。
通过搜索并选择 “策略”在 Azure 门户中启动 Azure Policy 服务。
在服务菜单中的“创作”下,选择“分配”。 分配是指分配的策略,它在特定的范围内执行。
从“分配”窗格顶部选择“分配策略”。
在 “分配策略” 页上,选择 范围 时,点击省略号,然后选择管理组或订阅。 或者,请选择一个资源组。 范围确定在哪些资源或资源分组上实施策略分配。 然后在范围窗格底部选择“选择”。
可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的,因此暂时将其留空。
选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带了许多可以使用的内置策略定义,例如:
- 强制实施标记和值
- 应用标记和值
- 从资源组继承标记(如果缺少此标记)
有关可用内置策略的部分列表,请参阅 Azure Policy 示例。
搜索策略定义列表以查找 应启用 Azure Defender for Servers 的定义。 选择该策略,然后选择“添加”。
“分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。
对于此示例,我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配,然后选择“创建”。
你现已准备好识别不合规的资源,了解环境的符合性状态。
在服务菜单中,选择 “符合性”。 然后,找到你创建的“应启用 Azure Defender for servers”策略分配。
如果存在与此新分配不相符的任何现有资源,这些资源会在“不符合的资源”下显示。
当根据现有资源评估的条件判断为真时,这些资源将被标记为不符合政策要求。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。
| 资源状态 | 效果 | 策略评估 | 符合性状态 |
|---|---|---|---|
| 存在 | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | 真 实 | 不符合 |
| 存在 | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | 假 | 符合 |
| 新建 | Audit、AuditIfNotExist* | 真 实 | 不符合 |
| 新建 | Audit、AuditIfNotExist* | 假 | 符合 |
* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。
删除创建的分配,请执行以下步骤:
在服务菜单中,选择合规性(或在创作下选择任务)。
找到你创建的“应启用 Azure Defender for servers”策略分配。
右键单击策略分配,然后选择“ 删除分配”。
在本教程中,你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。
若要了解如何从计算机监视和查看性能、正在运行的进程和依赖项,请继续学习教程: