0

请让我知道可用于列出与特定订阅相关的安全策略的命令。

我要列出的内容如下:

在导航面板中,选择安全策略以访问策略管理门户。

  1. 在“策略管理”页面上,单击要检查的订阅名称以访问选定的订阅配置设置。

  2. 在安全策略页面的计算和应用程序类别中,检查计算机上的安全配置中的漏洞应修复设置状态。如果配置设置设置为已禁用,则不会为当前订阅中可用的 Microsoft Azure 虚拟机 (VM) 启用操作系统漏洞监控。

预期的

想要使用 powershell 命令列出以上策略状态。

使用 Get-AzPolicyAssignment在此处输入图像描述

与门户网站上列出的内容相比,未检索到相同的策略。

谢谢。

4

1 回答 1

0

如果我没理解错的话,你想检查一下Vulnerabilities in security configuration on your machines should be remediatedpolicy 中参数的状态[Preview]: Enable Monitoring in Azure Security Center

在此处输入图像描述

目前,我们可以通过

$policy = Get-AzPolicyAssignment | Where-Object {$_.Properties.displayName -eq '[Preview]: Enable Monitoring in Azure Security Center'}

在此处输入图像描述

但似乎默认情况下我们无法在此命令中获取参数的状态

在此处输入图像描述


如果您的最终目标是检查状态,如果是Disabled,那么您将其设置为AuditIfNotExists

如果是这样,您可以使用下面的命令直接设置它,无论是Disabled还是AuditIfNotExists,都将设置为AuditIfNotExists(如果要设置为Disabled,只需将命令更改为systemConfigurationsMonitoringEffect = "Disabled")。

$policy = Get-AzPolicyAssignment | Where-Object {$_.Properties.displayName -eq '[Preview]: Enable Monitoring in Azure Security Center'}
Set-AzPolicyAssignment -Id $policy.ResourceId -PolicyParameterObject @{systemConfigurationsMonitoringEffect = "AuditIfNotExists"}

然后我们检查$policy.Properties.parameters,它出现了。检查门户,您会发现它也有效。

在此处输入图像描述

更新

如果只使用Get-AzPolicyAssignment不带任何参数,则Initiative策略不会返回。

导航到门户中的Policy-> ,找到所需的类型策略,单击它,复制.AssignmentsInitiativeAssignment ID

在此处输入图像描述

然后使用下面的命令。

Get-AzPolicyAssignment -Id <Assignment ID>

如果您想获取策略下的所有Initiative策略,请尝试以下命令,这 $policies就是您想要的。

$initiative = Get-AzPolicyAssignment -Id <Assignment ID>
$policies = (Get-AzPolicySetDefinition -Id $initiative.Properties.policyDefinitionId).Properties.policyDefinitions

在此处输入图像描述

在门户中检查它们:

在此处输入图像描述

于 2020-02-18T03:31:29.233 回答