Warnung bei Zuweisungen privilegierter Azure-Rollen

Artikel
11/15/2023

Privilegierte Azure-Rollen, z. B. „Mitwirkender“, „Besitzer“ oder „Benutzerzugriffsadministrator“, sind leistungsstarke Rollen und können Risiken in Ihr System einführen. Sie sollten sich per E-Mail oder SMS benachrichtigt werden, wenn diese oder andere Rollen zugewiesen werden. In diesem Artikel wird beschrieben, wie Sie über Zuweisungen privilegierter Rollen im Abonnementbereich benachrichtigt werden können, indem Sie eine Warnungsregel mithilfe von Azure Monitor erstellen.

Voraussetzungen

Um eine Warnungsregel zu erstellen, müssen Sie über Folgendes verfügen:

Zugriff auf ein Azure-Abonnement
Berechtigung zum Erstellen von Ressourcengruppen und Ressourcen innerhalb des Abonnements.
Log Analytics so konfiguriert, dass es Zugriff auf die AzureActivity-Tabelle hat.

Schätzen der Kosten vor Verwendung von Azure Monitor

Die Verwendung von Azure Monitor und Warnungsregeln geht mit Kosten einher. Die Kosten basieren auf der Häufigkeit, mit der die Abfrage ausgeführt wird, und den ausgewählten Benachrichtigungen. Weitere Informationen finden Sie unter Azure Monitor-Preise.

Erstellen einer Warnungsregel

Um über die Zuweisung privilegierter Rollen benachrichtigt zu werden, erstellen Sie eine Warnungsregel in Azure Monitor.

Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Überwachen.
Klicken Sie im linken Navigationsbereich auf Warnungen.
Klicken Sie auf Erstellen>Warnungsregel. Die Seite Warnungsregel erstellen wird angezeigt.
Wählen Sie auf der Registerkarte Bereich Ihr Abonnement aus.
Wählen Sie auf der Registerkarte Bedingung den Signalnamen Benutzerdefinierte Protokollsuche aus.

Fügen Sie im Feld Protokollabfrage die folgende Kusto-Abfrage hinzu, die für das Protokoll des Abonnements ausgeführt wird und die Warnung auslöst.

Diese Abfrage filtert auf Versuche, die Rollen Mitwirkender, Besitzer oder Benutzerzugriffsadministrator im Bereich des ausgewählten Abonnements zuzuweisen.

AzureActivity
| where CategoryValue =~ "Administrative" and
    OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
    (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
| extend Properties_d = todynamic(Properties)
| extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
| extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
| where Scope !contains "resourcegroups"
| extend RoleId = split(RoleDefinition,'/')[-1]
| extend RoleDisplayName = case(
    RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
    RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
    RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
    "Irrelevant")
| where RoleDisplayName != "Irrelevant"
| project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName

Legen Sie im Abschnitt Messung die folgenden Werte fest:
- Measure: Tabellenzeilen
- Aggregationstyp: Count (Anzahl)
- Aggregationsgranularität: 5 Minuten
Für Aggregationsgranularität können Sie den Standardwert in eine von Ihnen gewünschte Häufigkeit ändern.
Legen Sie im Abschnitt Nach Dimensionen aufteilen die Spalte Ressourcen-ID auf Nicht aufteilen fest.
Legen Sie im Abschnitt Warnungslogik die folgenden Werte fest:
- Operator: Größer als
- Schwellenwert: 0
- Häufigkeit der Auswertung: 5 Minuten
Für die Häufigkeit der Auswertung können Sie den Standardwert in eine von Ihnen gewünschte Häufigkeit ändern.
Erstellen Sie auf der Registerkarte Aktionen eine Aktionsgruppe, oder wählen Sie eine vorhandene Aktionsgruppe aus.

Eine Aktionsgruppe definiert die Aktionen und Benachrichtigungen, die ausgeführt werden, wenn die Warnung ausgelöst wird.

Wenn Sie eine Aktionsgruppe erstellen, müssen Sie die Ressourcengruppe angeben, in der die Aktionsgruppe platziert werden soll. Wählen Sie dann die Benachrichtigungsarten (E-Mail/SMS/Push/Voice-Aktion) aus, die aufgerufen werden sollen, wenn die Warnungsregel ausgelöst wird. Sie können die Registerkarten Aktionen und Tag überspringen. Weitere Informationen erhalten Sie unter Erstellen und Verwalten von Aktionsgruppen im Azure-Portal.
Wählen Sie auf der Registerkarte Details die Ressourcengruppe aus, in der die Warnungsregel gespeichert werden soll.
Wählen Sie im Abschnitt Details zur Warnungsregel einen Schweregrad aus, und geben Sie einen Namen der Warnungsregel an.
Als Region können Sie eine beliebige Region auswählen, da Azure-Aktivitätsprotokolle global sind.
Überspringen Sie die Registerkarte Tags.
Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen, um Ihre Warnungsregel zu erstellen.

Testen der Warnungsregel

Nachdem Sie eine Warnungsregel erstellt haben, können Sie testen, ob sie ausgelöst wird.

Weisen Sie die Rolle „Mitwirkender“, „Besitzer“ oder „Benutzerzugriffsadministrator“ im Abonnementbereich zu. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Azure-Rollenzuweisungen über das Azure-Portal.
Warten Sie ein paar Minuten, bis Sie die Warnung basierend auf der Aggregationsgranularität und der Häufigkeit der Auswertung der Protokollabfrage erhalten.
Überwachen Sie auf der Seite Warnungen die Warnungen, die Sie in der Aktionsgruppe angegeben haben.

Die folgende Abbildung zeigt ein Beispiel für die E-Mail-Warnung.

Löschen der Warnungsregel

Führen Sie die folgenden Schritte aus, um die Warnungsregel wegen Rollenzuweisung zu löschen und die Entstehung zusätzlicher Kosten zu beenden.

Navigieren Sie in Überwachen zu Warnungen.
Klicken Sie in der Leiste auf Warnungsregeln.
Fügen Sie neben zu löschenden Warnungsregel ein Häkchen hinzu.
Klicken Sie auf Löschen, um die Warnung zu löschen.