Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy

Ważne

30 września 2027 r. dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane. W ramach tego wycofania nie będzie już można tworzyć nowych dzienników przepływów sieciowej grupy zabezpieczeń od 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala wyeliminować ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona z dziennikami przepływów sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby przepływów sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i będą nadal zgodne z odpowiednimi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.

Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest usługa Azure Policy? i Szybki start: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów.

Z tego artykułu dowiesz się, jak zarządzać konfiguracją dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu dwóch wbudowanych zasad. Pierwsze zasady flaguje wszystkie sieciowe grupy zabezpieczeń, które nie mają włączone dzienniki przepływu. Drugie zasady automatycznie wdrażają dzienniki przepływu sieciowej grupy zabezpieczeń, które nie mają włączonych dzienników przepływu.

Inspekcja sieciowych grup zabezpieczeń przy użyciu wbudowanych zasad

Dzienniki przepływu należy skonfigurować dla wszystkich zasad sieciowej grupy zabezpieczeń przeprowadza inspekcję wszystkich istniejących sieciowych grup zabezpieczeń w zakresie przez sprawdzenie wszystkich obiektów usługi Azure Resource Manager typu Microsoft.Network/networkSecurityGroups. Te zasady następnie sprawdzają dzienniki połączonego przepływu za pośrednictwem właściwości dzienników przepływu sieciowej grupy zabezpieczeń i flaguje każdą sieciową grupę zabezpieczeń, która nie ma włączonych dzienników przepływu.

Aby przeprowadzić inspekcję dzienników przepływu przy użyciu wbudowanych zasad, wykonaj następujące kroki:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

   

3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

   

4. Wybierz wielokropek (...) obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą sieciowe grupy zabezpieczeń, które mają zostać poddane inspekcji. Możesz również wybrać grupę zasobów zawierającą sieciowe grupy zabezpieczeń. Po wybraniu opcji wybierz przycisk Wybierz .

   

5. Wybierz wielokropek (...) obok pozycji Definicja zasad, aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Dzienniki przepływu powinny być skonfigurowane dla każdej sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Dodaj.

   

6. Wprowadź nazwę w polu Nazwa przypisania i wprowadź nazwę w polu Przypisane przez.

   Te zasady nie wymagają żadnych parametrów. Nie zawiera ona również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .

7. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   

8. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.

   

9. Wybierz pozycję Zgodność zasobów, aby uzyskać listę wszystkich niezgodnych sieciowych grup zabezpieczeń.

   

Wdrażanie i konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu wbudowanych zasad

W polu Wdróż zasób dziennika przepływu z docelowymi zasadami sieciowej grupy zabezpieczeń sprawdza wszystkie istniejące sieciowe grupy zabezpieczeń w zakresie, sprawdzając wszystkie obiekty typu Microsoft.Network/networkSecurityGroupsusługi Azure Resource Manager. Następnie sprawdza dzienniki połączonego przepływu za pośrednictwem właściwości dzienników przepływu sieciowej grupy zabezpieczeń. Jeśli właściwość nie istnieje, zasady wdrażają dziennik przepływu.

Aby przypisać zasady deployIfNotExists :

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

   

3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

   

4. Wybierz wielokropek (...) obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą sieciowe grupy zabezpieczeń, które mają zostać poddane inspekcji. Możesz również wybrać grupę zasobów zawierającą sieciowe grupy zabezpieczeń. Po wybraniu opcji wybierz przycisk Wybierz .

   

5. Wybierz wielokropek (...) obok pozycji Definicja zasad, aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Wdróż zasób dziennika przepływu z docelową sieciową grupą zabezpieczeń, a następnie wybierz pozycję Dodaj.

   

6. Wprowadź nazwę w polu Nazwa przypisania i wprowadź nazwę w polu Przypisane przez.

   

7. Wybierz przycisk Dalej dwa razy lub wybierz kartę Parametry . Następnie wprowadź lub wybierz następujące wartości:

   Ustawienie	Wartość
   Region sieciowej grupy zabezpieczeń	Wybierz region sieciowej grupy zabezpieczeń, dla której chcesz za pomocą zasad.
   Identyfikator magazynu	Wprowadź pełny identyfikator zasobu konta magazynu. Konto magazynu musi znajdować się w tym samym regionie co sieciowa grupa zabezpieczeń. Format identyfikatora zasobu magazynu to /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
   Network Watchers RG	Wybierz grupę zasobów wystąpienia usługi Azure Network Watcher.
   Nazwa usługi Network Watcher	Wprowadź nazwę wystąpienia usługi Network Watcher.

   

8. Wybierz przycisk Dalej lub kartę Korygowanie . Wprowadź lub wybierz następujące wartości:

   Ustawienie	Wartość
   Tworzenie zadania korygowania	Zaznacz pole wyboru, jeśli chcesz, aby zasady wpływały na istniejące zasoby.
   Tworzenie tożsamości zarządzanej	Zaznacz pole wyboru.
   Typ tożsamości zarządzanej	Wybierz typ tożsamości zarządzanej, której chcesz użyć.
   Lokalizacja tożsamości przypisanej przez system	Wybierz region tożsamości przypisanej przez system.
   Scope	Wybierz zakres tożsamości przypisanej przez użytkownika.
   Istniejące tożsamości przypisane przez użytkownika	Wybierz tożsamość przypisaną przez użytkownika.

   Uwaga

   Do korzystania z tych zasad potrzebne są uprawnienia Współautor lub Właściciel .

   

9. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

10. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.

    

11. Wybierz pozycję Zgodność zasobów, aby uzyskać listę wszystkich niezgodnych sieciowych grup zabezpieczeń.

    

12. Pozostaw przebiegi zasad, aby ocenić i wdrożyć dzienniki przepływu dla wszystkich niezgodnych sieciowych grup zabezpieczeń. Następnie ponownie wybierz pozycję Zgodność zasobów, aby sprawdzić stan sieciowych grup zabezpieczeń (nie widzisz niezgodnych sieciowych grup zabezpieczeń, jeśli zasady zakończyły korygowanie).

    

Powiązana zawartość

• Aby dowiedzieć się więcej na temat dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Dzienniki przepływu dla sieciowych grup zabezpieczeń.
• Aby dowiedzieć się więcej na temat używania wbudowanych zasad z analizą ruchu, zobacz Zarządzanie analizą ruchu przy użyciu usługi Azure Policy.
• Aby dowiedzieć się, jak używać szablonu usługi Azure Resource Manager (ARM) do wdrażania dzienników przepływu i analizy ruchu, zobacz Konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager.