Azure Security Center/Azure Policy가 몇 시에 작동하는지 파악
소개
Azure Security Center(아래 ASC)를 사용하는 경우 권장 사항과 규제 규정 준수의 기본 규칙(Azure Policy)이 언제 어떻게 작동하는지 보지 못할 수도 있습니다.
어떻게 확인하는지 - Azure Policy 확인!
이 규칙 검사이지만 원래 Azure Policy 측에서 확인할 수 있습니다.
최종 평가 날짜 및 시간 플래그는 Azure Policy가 확인한 마지막 날짜 및 시간을 표시합니다.
또 다른 방법은 API에서 직접 검색하는 것입니다.
Get-AZPolicyState 을 사용하면 Azure Policy에 대한 자세한 정보를 얻을 수 있습니다.
PS /home/TEST> Get-AzPolicyState -Filter "PolicyDefinitionName eq '34c877ad-507e-4c82-993e-3452a6e0XXXX' and ComplianceState eq 'NonCompliant'"
Timestamp : 8/15/2021 9:14:34 PM
ResourceId : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f/resourcegroups/rg-hnakada-dev-001/providers/microsoft.storage/storageaccounts/sthnakadadeveastus
PolicyAssignmentId : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f/providers/microsoft.authorization/policyassignments/fba1e5b72a6d47b5b099fdd2
PolicyDefinitionId : /providers/microsoft.authorization/policydefinitions/34c877ad-507e-4c82-993e-3452a6e0ad3c
IsCompliant : False
SubscriptionId : 90023ff9-c905-4501-ae32-2b866814323f
ResourceType : Microsoft.Storage/storageAccounts
ResourceLocation : eastus
ResourceGroup : rg-HNAKADA-dev-001
ResourceTags : tbd
PolicyAssignmentName : fba1e5b72a6d47b5b099fdd2
PolicyAssignmentOwner : tbd
PolicyAssignmentScope : /subscriptions/90023ff9-c905-4501-ae32-2b866814323f
PolicyDefinitionName : 34c877ad-507e-4c82-993e-3452a6e0ad3c
PolicyDefinitionAction : audit
PolicyDefinitionCategory : tbd
PolicySetDefinitionId : /providers/Microsoft.Authorization/policySetDefinitions/1a5bb27d-173f-493e-9568-eb56638dde4d
PolicySetDefinitionName : 1a5bb27d-173f-493e-9568-eb56638dde4d
PolicySetDefinitionCategory : regulatory compliance
ManagementGroupIds : ToBeIdentifiedMG,GSMO-MG,72f988bf-86f1-41af-91ab-2d7cd011db47
PolicyDefinitionReferenceId : cisv110x3x7
ComplianceState : NonCompliant
AdditionalProperties : {[complianceReasonCode, ]}
Azure Activity Log를 사용할 수 없습니까?
처음에는 Azure Policy의 상태를 확인하는 방법으로 LogAnalytics 작업 영역에 저장된 Azure Activity Logs를 쿼리하는 것이 좋습니다. 라고 생각했습니다.
유감스럽게도 2020.10에 사양 변경이 걸려 평가 결과가 바뀌지 않는 정상적인 리소스에 대해서는 Azure Activity Log에 출력되지 않는다고 합니다.
Policy를 준수하지 않는 리소스는 Azure Activity Log에 기록되므로 모니터링 및 통지 목적이라면 운영상의 문제는 없지만 날짜 및 시간 작업의 대상 규칙이 "어느 시기"로 작동하고 있습니다. 을 확인하고 싶다면 Azure Policy 쪽을 보면 좋다는 답변이 됩니다.
반면에 Azure Policy의 오류 및 문제는 일부 Azure Activity Log로 출력되므로 문제 해결은 Activity Log를 쿼리하는 것입니다.
Resolution
The error message from a deny policy assignment includes the policy definition and policy assignment IDs. If the error information in the message is missed, it's also available in the Activity log. Use this information to get more details to understand the resource restrictions and adjust the resource properties in your request to match allowed values.
요약
Azure Security Center는 편리합니다만, 준거의 체크 타이밍이 24시간 간격(※Azure Policy의 설정에 의존하고 있습니다만, 대략 24시간이 많다)이므로, 다음날 경과한 후에 debug 하고 싶은 요구가 많은 것은 아니다 라고 생각합니다. Azure Policy의 일부 화면에만 표시되므로 신경이 쓰이는 분을 확인해 보세요. 누군가의 참고가 되면 다행입니다.
*본고는, 개인의 견해에 근거한 내용이며, 소속하는 회사의 공식 견해가 아닙니다. 또한 어떠한 보증도 제공하지 않습니다. 공식 정보는 각 제품의 판매자에게 확인하십시오.
Reference
이 문제에 관하여(Azure Security Center/Azure Policy가 몇 시에 작동하는지 파악), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/hisnakad/items/cdc3f54e10efae50e63d
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(Azure Security Center/Azure Policy가 몇 시에 작동하는지 파악), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/hisnakad/items/cdc3f54e10efae50e63d텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)