소개

Azure Security Center(아래 ASC)를 사용하는 경우 권장 사항과 규제 규정 준수의 기본 규칙(Azure Policy)이 언제 어떻게 작동하는지 보지 못할 수도 있습니다.

ASC의 화면에서는 결과만 표시되고, 이 기준이 몇시 체크되었는지를 알 수 없습니다.

ASC 측에서 화면을 추적하면, 이 기능이 어느 간격으로 체크되고 있는지 표시됩니다만, 최종 반영 일시를 모르기 때문에, 1일 경과 후에도 「몇시」반영되고 있는지 가 됩니다.

어떻게 확인하는지 - Azure Policy 확인!

이 규칙 검사이지만 원래 Azure Policy 측에서 확인할 수 있습니다.

Azure Policy 화면에서 ASC 측에서 사용되는 컴플라이언스 (예 : CIS Microsoft Azure Foundations Benchmark v1.1.0 등)를 엽니 다

컴플라이언스에 연결된 정책이 표시되므로 대상 정책을 엽니 다

대상 정책 화면에서 리소스 컴플라이언스 열기

최종 평가 날짜 및 시간 플래그는 Azure Policy가 확인한 마지막 날짜 및 시간을 표시합니다.

또 다른 방법은 API에서 직접 검색하는 것입니다.
Get-AZPolicyState 을 사용하면 Azure Policy에 대한 자세한 정보를 얻을 수 있습니다.

PS /home/TEST> Get-AzPolicyState -Filter "PolicyDefinitionName eq '34c877ad-507e-4c82-993e-3452a6e0XXXX' and ComplianceState eq 'NonCompliant'"
Timestamp                   : 8/15/2021 9:14:34 PM
ResourceId                  : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f/resourcegroups/rg-hnakada-dev-001/providers/microsoft.storage/storageaccounts/sthnakadadeveastus
PolicyAssignmentId          : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f/providers/microsoft.authorization/policyassignments/fba1e5b72a6d47b5b099fdd2
PolicyDefinitionId          : /providers/microsoft.authorization/policydefinitions/34c877ad-507e-4c82-993e-3452a6e0ad3c
IsCompliant                 : False
SubscriptionId              : 90023ff9-c905-4501-ae32-2b866814323f
ResourceType                : Microsoft.Storage/storageAccounts
ResourceLocation            : eastus
ResourceGroup               : rg-HNAKADA-dev-001
ResourceTags                : tbd
PolicyAssignmentName        : fba1e5b72a6d47b5b099fdd2
PolicyAssignmentOwner       : tbd
PolicyAssignmentScope       : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f
PolicyDefinitionName        : 34c877ad-507e-4c82-993e-3452a6e0ad3c
PolicyDefinitionAction      : audit
PolicyDefinitionCategory    : tbd
PolicySetDefinitionId       : /providers/Microsoft.Authorization/policySetDefinitions/1a5bb27d-173f-493e-9568-eb56638dde4d
PolicySetDefinitionName     : 1a5bb27d-173f-493e-9568-eb56638dde4d
PolicySetDefinitionCategory : regulatory compliance
ManagementGroupIds          : ToBeIdentifiedMG,GSMO-MG,72f988bf-86f1-41af-91ab-2d7cd011db47
PolicyDefinitionReferenceId : cisv110x3x7
ComplianceState             : NonCompliant
AdditionalProperties        : {[complianceReasonCode, ]}

Azure Activity Log를 사용할 수 없습니까?

처음에는 Azure Policy의 상태를 확인하는 방법으로 LogAnalytics 작업 영역에 저장된 Azure Activity Logs를 쿼리하는 것이 좋습니다. 라고 생각했습니다.
유감스럽게도 2020.10에 사양 변경이 걸려 평가 결과가 바뀌지 않는 정상적인 리소스에 대해서는 Azure Activity Log에 출력되지 않는다고 합니다.
Policy를 준수하지 않는 리소스는 Azure Activity Log에 기록되므로 모니터링 및 통지 목적이라면 운영상의 문제는 없지만 날짜 및 시간 작업의 대상 규칙이 "어느 시기"로 작동하고 있습니다. 을 확인하고 싶다면 Azure Policy 쪽을 보면 좋다는 답변이 됩니다.

반면에 Azure Policy의 오류 및 문제는 일부 Azure Activity Log로 출력되므로 문제 해결은 Activity Log를 쿼리하는 것입니다.

공식 문서: Troubleshoot errors with using Azure Policy

Resolution
The error message from a deny policy assignment includes the policy definition and policy assignment IDs. If the error information in the message is missed, it's also available in the Activity log. Use this information to get more details to understand the resource restrictions and adjust the resource properties in your request to match allowed values.

요약

Azure Security Center는 편리합니다만, 준거의 체크 타이밍이 24시간 간격(※Azure Policy의 설정에 의존하고 있습니다만, 대략 24시간이 많다)이므로, 다음날 경과한 후에 debug 하고 싶은 요구가 많은 것은 아니다 라고 생각합니다. Azure Policy의 일부 화면에만 표시되므로 신경이 쓰이는 분을 확인해 보세요. 누군가의 참고가 되면 다행입니다.

＊본고는, 개인의 견해에 근거한 내용이며, 소속하는 회사의 공식 견해가 아닙니다. 또한 어떠한 보증도 제공하지 않습니다. 공식 정보는 각 제품의 판매자에게 확인하십시오.