Upozornění na přiřazení privilegovaných rolí Azure

  • Článek

Privilegované role Azure, jako je přispěvatel, vlastník nebo uživatelský přístup Správa istrator, jsou výkonné role a můžou do vašeho systému představovat riziko. Pokud jsou tyto nebo jiné role přiřazené, můžete být upozorněni e-mailem nebo textovou zprávou. Tento článek popisuje, jak získat oznámení o přiřazeních privilegovaných rolí v oboru předplatného vytvořením pravidla upozornění pomocí služby Azure Monitor.

Předpoklady

Pokud chcete vytvořit pravidlo upozornění, musíte mít:

  • Přístup k předplatnému Azure
  • Oprávnění k vytváření skupin prostředků a prostředků v rámci předplatného
  • Služba Log Analytics je nakonfigurovaná tak, aby získala přístup k tabulce AzureActivity.

Odhad nákladů před použitím služby Azure Monitor

S používáním služby Azure Monitor a pravidel upozornění jsou spojené náklady. Náklady vycházejí z četnosti provádění dotazu a vybraných oznámení. Další informace najdete v tématu o cenách služby Azure Monitor.

Vytvoření pravidla výstrahy

Pokud chcete dostávat oznámení o přiřazeních privilegovaných rolí, vytvoříte ve službě Azure Monitor pravidlo upozornění.

  1. Přihlaste se k portálu Azure.

  2. Přejděte na Monitorování.

  3. V levém navigačním panelu klikněte na Upozornění.

  4. Klikněte na Vytvořit>pravidlo upozornění. Otevře se stránka Vytvořit pravidlo upozornění.

  5. Na kartě Obor vyberte své předplatné.

  6. Na kartě Podmínka vyberte název signálu vlastního prohledávání protokolu.

  7. Do pole dotaz protokolu přidejte následující dotaz Kusto, který se spustí v protokolu předplatného a aktivuje upozornění.

    Tento dotaz filtruje pokusy o přiřazení rolí Přispěvatel, Vlastník nebo Uživatelský přístup Správa istrator v oboru vybraného předplatného.

    AzureActivity
| where CategoryValue =~ "Administrative" and
    OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
    (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
| extend Properties_d = todynamic(Properties)
| extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
| extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
| where Scope !contains "resourcegroups"
| extend RoleId = split(RoleDefinition,'/')[-1]
| extend RoleDisplayName = case(
    RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
    RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
    RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
    "Irrelevant")
| where RoleDisplayName != "Irrelevant"
| project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName

    Screenshot of Create an alert rule condition tab in Azure Monitor.

  8. V části Měření nastavte následující hodnoty:

    • Míra: Řádky tabulky
    • Typ agregace: Počet
    • Členitost agregace: 5 minut

    U členitosti agregace můžete výchozí hodnotu změnit na požadovanou frekvenci.

  9. V části Rozdělení podle dimenzí nastavte sloupec ID prostředku na Hodnotu Nedělit.

  10. V části Logika upozornění nastavte následující hodnoty:

    • Operátor: Větší než
    • Prahová hodnota: 0
    • Frekvence vyhodnocení: 5 minut

    U frekvence vyhodnocování můžete výchozí hodnotu změnit na požadovanou frekvenci.

  11. Na kartě Akce vytvořte skupinu akcí nebo vyberte existující skupinu akcí.

    Skupina akcí definuje akce a oznámení, které se spustí při aktivaci výstrahy.

    Při vytváření skupiny akcí musíte určit skupinu prostředků, do které chcete skupinu akcí umístit. Potom vyberte oznámení (e-mailová/SMS zpráva/akce Push/Voice), která se mají vyvolat při aktivaci pravidla upozornění. Můžete přeskočit karty Akce a značky . Další informace najdete v tématu Vytváření a správa skupin akcí na webu Azure Portal.

  12. Na kartě Podrobnosti vyberte skupinu prostředků, aby se pravidlo upozornění uložilo.

  13. V části Podrobnosti pravidla upozornění vyberte závažnost a zadejte název pravidla upozornění.

  14. Pro oblast můžete vybrat libovolnou oblast, protože protokoly aktivit Azure jsou globální.

  15. Přeskočte kartu Značky.

  16. Na kartě Zkontrolovat a vytvořit kliknutím na Vytvořit vytvořte pravidlo upozornění.

Otestování pravidla upozornění

Po vytvoření pravidla upozornění můžete otestovat, že se aktivuje.

  1. Přiřaďte roli Přispěvatel, Vlastník nebo Uživatelský přístup Správa istrator v oboru předplatného. Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.

  2. Počkejte několik minut, než výstrahu obdržíte na základě členitosti agregace a frekvence vyhodnocení dotazu protokolu.

  3. Na stránce Výstrahy sledujte výstrahu, kterou jste zadali ve skupině akcí.

    Screenshot of the Alerts page showing that role assignment alert fired.

    Následující obrázek ukazuje příklad e-mailové výstrahy.

    Screenshot of an email alert for a role assignment.

Odstranění pravidla upozornění

Tímto postupem odstraníte pravidlo upozornění přiřazení role a zastavíte další náklady.

  1. V nástroji Monitor přejděte na Výstrahy.

  2. Na panelu klikněte na Pravidla upozornění.

  3. Vedle pravidla upozornění, které chcete odstranit, přidejte značku zaškrtnutí.

  4. Kliknutím na Odstranit výstrahu odeberete.

Další kroky