クイック スタート: テスト マシンを使用して Linux 用の Azure セキュリティ ベースラインを構成する

1. ポータルのアカウント情報を使用して、現在のコンテキストを確認します。

   のアカウント情報を示す画面キャプチャ

1. az account show を使用して、現在のコンテキストを確認できます。 サインインまたはコンテキストを変更するには、az account loginを使用します。
2. ポリシー定義は、id に応答して az account show として表示されるサブスクリプションにインポートされます。

1. Azure portal から、リソース グループ 参照します。
2. [+ 作成 を選択します
3. 名前とリージョン ("my-demo-rg" や "米国東部" など) を選択します
4. 確認と作成に進

az group create --name my-demo-rg --location eastus

1. ポリシー定義 JSON をコンピューター ダウンロードし、任意のテキスト エディターで開きます。 後の手順では、このファイルの内容をコピーして貼り付けます。
2. Azure portal の検索バーに「ポリシー」と入力し、サービスの結果から Policy を選択します。
3. Azure Policy の概要から、作成>定義に移動します。
4. + ポリシー定義を選択し、結果のフォームに次のように入力します。
   1. 定義の場所: テスト用の Azure サブスクリプション< を選択 >
   2. 名: Linux 用の Azure セキュリティ ベースラインを構成する (OSConfig を利用)
   3. カテゴリ: 既存の > ゲスト構成を使用する
   4. ポリシールールの: 事前入力されたコンテンツ 削除してから、手順 1 でファイルから JSON に を貼り付

政府機関向けクラウドなどの特殊な Azure 環境を使用している場合は、次の az rest コマンドの management.azure.com をローカル エンドポイントに置き換える必要があります。

curl -L https://github.com/Azure/azure-osconfig/releases/download/PrivatePreview_ASB_Remediation_Feb2025/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

1. [ポリシー定義] ページ [ポリシーの割り当て] を選択すると、ポリシーを割り当てるためのワークフローに移動します。
2. の [基本] タブ:
   1. スコープ: テスト リソース グループ (例: my-demo-rg) を選択します
      1. サブスクリプション全体または間違ったリソース グループを選択する 注意してください
   2. ポリシー定義: Linux 用の Azure セキュリティ ベースラインを構成する (OSConfig を利用)
   3. 割り当て名: Linux 用の Azure セキュリティ ベースラインを構成する (OSConfig を使用)
3. パラメーター タブ
   1. 省略可能: パラメーター タブに進み、使用可能なパラメーターを調べます。 Azure 仮想マシンではなく Arc 対応マシンでテストする場合は、必ず "Arc マシンを含める" を true に変更してください。
4. 修復 タブ
   1. マネージド ID 作成するオプションを選択し、[システムマネージド] を選択します
5. 確認と作成 タブ
   1. の作成 選択する
6. ポリシー定義ページに戻り、先ほど作成したポリシー割り当ての [割り当て] タブに移動します。

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Configure Azure security baseline for Linux (powered by OSConfig)" --scope "$RG_ID" --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

1. 次の選択肢を使用して、Linux 仮想マシンを作成します。
   1. 仮想マシン名の: my-demo-vm-01
   2. リソース グループの: 前に作成した空のリソース グループ (例: my-demo-rg )
   3. イメージ: Ubuntu Server 22.04 LTS - x64 Gen2
   4. VM アーキテクチャの: x64
   5. VM サイズ: 選択できますが、Standard_B2sなどの B シリーズの VM サイズが小さいほど、テストにコスト効率の高いオプションになる可能性があることに注意してください
2. VM の作成後、マシン構成で動作するように VM を更新します。
   1. まだ存在しない場合は、システム割り当て ID を追加する
   2. マシン構成拡張機能を追加する (ポータルで Azure Automanage Machine Configuration ラベルが付いています)

1. システム割り当て ID を使用して Linux VM を作成する

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   先端

   通常、"No access was given yet..." のような警告を受け取ります。 Azure Machine Configuration ではマシンにマネージド ID のみが必要であるため、マネージド ID に特定のアクセスが割り当てられていないのは意図的です。

2. Azure VM 拡張機能として Machine Configuration エージェントをインストールする

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

1. Azure Policy の概要ページに移動します
2. 左側のナビゲーションで [コンプライアンス] をクリックします
3. 前に作成したポリシーの割り当てをクリックします(例: Linux 用の Azure セキュリティ ベースラインの構成 (OSConfig を利用)
4. このページでは、次の両方が提供されることに注意してください。
   1. コンプライアンス状態別のマシンの数
   2. コンプライアンス状態が各マシンの一覧
5. コンプライアンスの状態と証拠を含むベースライン 規則の詳細な一覧を表示する準備ができたら、次の操作を行います。
   1. マシンの一覧 (リソース コンプライアンスの下に表示) で、テスト マシンの名前を選択します
   2. [リソース の表示] をクリックして、コンピューターの概要ページに移動します
   3. 左側のナビゲーションで、構成管理 見つけて選択します
   4. 構成の一覧で、名前が SetAzureLinuxBaseline...で始まる構成を選択
   5. [構成の詳細] ビューで、[フィルター] ドロップダウンを使用して 準拠規則と非準拠規則の両方を表示する場合は、すべての を選択します

次の Azure CLI の例は、bash 環境の例です。 別のシェル環境を使用するには、行の終了動作、引用符の規則、文字エスケープなどの例を調整する必要がある場合があります。

1. コンプライアンス状態が各マシンの一覧:

   az graph query --query data --output yamlc --graph-query '
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   

2. コンプライアンス状態別のマシンの数:

   az graph query --query data --output yamlc --graph-query '
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   

3. コンプライアンスの状態と証拠 (理由とも呼ばれます) を含むベースライン 規則の詳細な一覧。

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "AzureLinuxBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc