Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Lernprogramm erfahren Sie, wie Sie eine Azure Logic App erstellen, die Microsoft Entra-Überwachungsprotokolle überwacht. Eine Logik-App kann basierend auf verschiedenen Überwachungsprotokollereignissen eine Sicherheits-E-Mail-Benachrichtigung an Benutzer senden.
Dieses Lernprogramm konzentriert sich auf Sicherheitsbenachrichtigungen, die per E-Mail gesendet werden, wenn sich die Authentifizierungsmethoden eines Benutzers ändern. Sie können auch Logik-Apps verwenden, um Workflows zu erstellen, die Sicherheitsbenachrichtigungen für andere Überwachungsprotokollereignisse senden. Diese Sicherheitsbenachrichtigungen helfen, Benutzer auf den neusten Stand zu bringen und sie über riskante Aktivitäten zu informieren. Benutzer können schnell die richtigen Schritte ausführen, um sie zu melden.
Voraussetzungen
Sie benötigen Folgendes, um dieses Feature verwenden zu können:
- Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
- Ein Microsoft Entra-Mandant.
- Ein Benutzer, der mindestens ein Sicherheitsadministrator für den Microsoft Entra-Mandanten ist.
- Einen Event Hubs-Namespace und einen Event Hub in Ihrem Azure-Abonnement. Erfahren Sie, wie Sie einen Event Hub erstellen.
- Aktivieren Sie das Streamen von Protokollen an den Event Hub. Informationen zum Streamen von Protokollen an einen Event Hub finden Sie hier. Wählen Sie nur die Protokolle aus, für die die Sicherheitsbenachrichtigung gesendet werden soll. In diesem Lernprogramm streamen wir Überwachungsprotokolle.
- Ein E-Mail-Konto eines mit Azure Logic Apps kompatiblen Diensts (z. B. Office 365 Outlook oder Outlook.com). Weitere unterstützte E-Mail-Anbieter finden Sie unter Connectors für Azure Logic Apps.
Erstellen einer Logik-App
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie auf der Startseite unter Azure-Dienste die Option Logic Apps aus.
- Wählen Sie Hinzufügen.
- Konfigurieren Sie in Create Logic App (Logik-App erstellen) Ihre Logik-App:
Wählen Sie das Abonnement aus, in dem Sie der Logik-App erstellen möchten.
Wählen Sie die Ressourcengruppe aus, die Sie für das Event Hub erstellt haben.
Geben Sie den Namen der Logik-App ein und das System überprüft sofort, ob dieser Name verfügbar ist.
Wählen Sie die Region für die Logik-App aus.
Wählen Sie für den Plantyp die Ebene Verbrauch aus. Wählen Sie eine Region und einen Plantyp aus, der an die Größe und die Anforderungen Ihrer Organisation angepasst ist. Informationen zu Unterschieden zwischen Ebenen finden Sie im Logik-App-Workflow für Standard und Verbrauch.
Ändern Sie keine anderen Einstellungen.
Hinweis
Nur einige Regionen unterstützen Zonenredundanz. Je nach Standort ist der Abschnitt „Zonenredundanz“ möglicherweise automatisch aktiviert oder deaktiviert. Weitere Informationen finden Sie unter Schützen von Logik-Apps vor Regionsausfällen mit Zonenredundanz und Verfügbarkeitszonen.
Klicken Sie auf Überprüfen + erstellen. Überprüfen Sie dann die Einstellungen Ihrer Logik-App, und wählen Sie anschließend Erstellen aus.
Warten Sie, bis die Bereitstellung abgeschlossen ist.
Auswählen der leeren Vorlage
Nachdem Azure Ihre Logik-App-Ressource erfolgreich bereitgestellt hat, wählen Sie Zur Ressource wechseln aus, oder suchen Sie ihre Logik-App-Ressource, indem Sie den Namen in das Azure-Suchfeld eingeben.
Scrollen Sie nach unten am Video unter Vorlagen und wählen Sie Leere Logik-App aus. Nach dem Auswählen der Vorlage wird im Designer ein leerer Workflow angezeigt.
Designer für Logik-Apps
Wählen Sie im Abschnitt Connectors und Trigger die Option Event Hubs aus, oder suchen Sie sie in der Suchleiste.
Wählen Sie Wenn Ereignisse im Event Hubs-Trigger verfügbar sind aus. Wenn Sie zum ersten Mal einen Event Hubs-Trigger verwenden, werden Sie aufgefordert, eine Verbindung mit Ihrem Event Hub herzustellen. Weitere Informationen und Schritte finden Sie unter Erstellen Sie eine Event Hub-Verbindung.
Wählen Sie unter Event Hub-Name den Event Hub aus, den Sie in Vorraussetzungen erstellt haben. Wählen Sie den Event Hub aus, in dem Ihre Logik-App Sicherheitsbenachrichtigungen senden soll.
Wählen Sie unter Wie oft möchten Sie Elemente prüfen?, wie oft der Event Hub überprüft werden soll. In diesem Lernprogramm wird jede einzelne (1) Minute auf Ereignisse geprüft.
Initialisieren von Variablen
Hier initialisieren wir drei Variablen. Eine ist der Inhalt des Ereignisses, die ausgelöst und an den Event Hub gestreamt wurde. Die beiden anderen sind leere Variablen für unseren E-Mail-Textkörper und das Datum und die Uhrzeit der Aktivität, die wir später mit Informationen aus dem Ereignis ausfüllen werden.
Wählen Sie im Designer unter Wenn Ereignisse im Event Hubs-Trigger verfügbar sind die Option Neuer Schritt aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie im Suchfeld Variablen ein, und wählen Sie die Aktion namens Variable initialisieren aus.
Geben Sie für Name den Inhalt ein.
Wählen Sie unter Typ die Option Zeichenfolge aus.
Platzieren Sie den Cursor in der Wert-Eigenschaft, und dynamischer Inhalt wird angezeigt.
Suchen Sie im Bereich Dynamischer Inhalt nach Inhalt, und wählen Sie diese Option dann aus.
Wählen Sie Neuer Schritt aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie im Suchfeld Variablen ein, und wählen Sie die Aktion namens Variable initialisieren aus.
Geben Sie der Variablen einen Namen, z. B. emailBody.
Wählen Sie für Typ die Option Zeichenfolge aus, und lassen Sie Wert leer.
Wählen Sie Neuer Schritt aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie im Suchfeld Variablen ein, und wählen Sie die Aktion namens Variable initialisieren aus.
Geben Sie der Variablen einen Namen, z. B. dateTime.
Wählen Sie für Typ die Option Zeichenfolge aus, und lassen Sie Wert leer.
Analysieren von JSON
Jetzt formatieren wir den unformatierten JSON-Code, den wir von den Ereignissen erhalten haben, die an den Event Hub gestreamt wurden, indem wir den JSON-Code analysieren, damit wir auf bestimmte Daten innerhalb dieses Inhalts zugreifen können.
Wählen Sie unter Variable 3 initialisierenNeuer Schritt aus.
Geben Sie in der Suchleiste Connectors und Aktionen JSON analysieren ein.
Wechseln Sie zur Registerkarte Aktionen, und wählen Sie JSON analysieren aus.
Wählen Sie in Inhalt die Option Dynamischen Inhalt hinzufügen aus.
Wählen Sie in Dynamischer InhaltInhalt unter Variablen aus.
Kopieren Sie im Abschnitt „Schema“ die folgende JSON-Vorlage, und fügen Sie sie ein:
{ "type": "object", "properties": { "records": { "type": "array", "items": { "type": "object", "properties": { "time": { "type": "string" }, "resourceId": { "type": "string" }, "operationName": { "type": "string" }, "operationVersion": { "type": "string" }, "category": { "type": "string" }, "tenantId": { "type": "string" }, "resultSignature": { "type": "string" }, "durationMs": { "type": "integer" }, "correlationId": { "type": "string" }, "Level": { "type": "integer" }, "properties": { "type": "object", "properties": { "id": { "type": "string" }, "category": { "type": "string" }, "correlationId": { "type": "string" }, "result": { "type": "string" }, "resultReason": { "type": "string" }, "activityDisplayName": { "type": "string" }, "activityDateTime": { "type": "string" }, "loggedByService": { "type": "string" }, "operationType": { "type": "string" }, "userAgent": {}, "initiatedBy": { "type": "object", "properties": { "user": { "type": "object", "properties": { "id": { "type": "string" }, "displayName": {}, "userPrincipalName": { "type": "string" }, "ipAddress": { "type": "string" }, "roles": { "type": "array" } } } } }, "targetResources": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "displayName": {}, "type": { "type": "string" }, "userPrincipalName": { "type": "string" }, "modifiedProperties": { "type": "array" }, "administrativeUnits": { "type": "array" } }, "required": [ "id", "displayName", "type", "userPrincipalName", "modifiedProperties", "administrativeUnits" ] } }, "additionalDetails": { "type": "array" } } } }, "required": [ "time", "resourceId", "operationName", "operationVersion", "category", "tenantId", "resultSignature", "durationMs", "correlationId", "Level", "properties" ] } } } }Die Aktion JSON analysieren sollte nun wie folgt aussehen:
E-Mail-Textkörper für Sicherheitsbenachrichtigungen
Als Nächstes verfassen und formatieren wir die Sicherheits-E-Mail, die Benutzer über die Aktionen informiert, die für ihr Konto ausgeführt wurden. Hier möchten wir Benutzer über die Aktivität informieren, die stattgefunden hat, und sie auffordern, sie zu melden, wenn dies nicht deren Aktion war.
Wählen Sie unter JSON analysieren die Option Neuer Schritt aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie in das Suchfeld den Suchbegriff for each ein, und wählen Sie von der Liste der AktionenFor each aus.
Wählen Sie unter Ausgabe aus vorherigen Schritten auswählen die Option Dynamischen Inhalt hinzufügen aus.
Wählen Sie in dynamischer InhaltDatensätze aus.
Wählen Sie innerhalb der For Each-Aktion den Befehl Aktion hinzufügen aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie Variable festlegen in das Suchfeld ein und wählen Sie die Aktion Variable festlegen aus.
Wählen Sie unter Name die von Ihnen erstellte dateTime-Variable aus.
Wählen Sie innerhalb von Wert die Option Dynamischen Inhalt hinzufügen aus.
Suchen Sie in dynamischer Inhalt unter JSON analysieren nach Zeit und wählen Sie sie aus.
Wählen Sie unter Variable festlegen die Option Integriert aus. Geben Sie Variable festlegen in das Suchfeld ein und wählen Sie die Aktion Variable festlegen aus.
Wählen Sie unter Name die von Ihnen erstellte emailBody-Variable aus.
Geben Sie unter Wert den Text ein, den Sie im Textkörper der E-Mail für Sicherheitsbenachrichtigungen anzeigen möchten. Der Textkörper kann mit HTML formatiert werden. Sie können mit dieser Vorlage beginnen und sie anpassen. Ersetzen Sie beispielsweise die href-Platzhalter durch Links, die für Ihre Organisation relevant sind.
<div> <h2> You recently changed your authentication methods </h2> <p> We have been notified of the following action: (operation) on (date & time). <br><br> If you initiated this, no action is required. <br><br> If you haven't, please report it now. <br><br> <b>Instructions</b> <ol> <li>Review your account activity in <a href="https://mysignins.microsoft.com/security-info" class="link">Microsoft Security Info</a>.</li> <li>If you do not recognize this action, report it immediately:</li> <ul> <li>Go to <a href="#" class="link">ReportItNow</a> and select your security event.</li> <li>Provide any additional information in the form and submit.</li> </ul> </ol> <b>Information and Support</b> <ul> <li>Technical Assistance - Contact <a href="#" class="link">Helpdesk</a> support services</li> </ul> <b>Do NOT reply to this email. This is an unmonitored mailbox.</b><br> For more information, contact the <a href="#" class="link">Security Department</a> <br><br> <a href="#"><button type="button">Report device</button></a><br><br> <div class="footer"> Contoso, Ltd., 4567 Main St Buffalo, NY 98052<br> <br>Facilitated by <br> <img src="#" alt="Company Logo" style="height:70px;"> </div> <style> .link { text-decoration:none; color: #0078D4 } button { background-color: #0078D4; color: white; padding: 10px; border-radius: 5px; text-decoration: none; } button:hover { cursor: pointer; } .footer { width: 100%; height: 10%; padding-top: 10px; padding-left: 10px; padding-right: 10px; background-color: rgb(237, 237, 237); } </style> </p> </div>
Hinzufügen von dynamischem Inhalte zum E-Mail-Textkörper
Wenn Sie die obige Vorlage verwenden, kopieren Sie sie, und fügen Sie sie in das Feld „Wert“ der Aktion „Variable festlegen“ ein.
Wechseln Sie innerhalb des Wertfelds, in das Sie die Vorlage eingefügt haben, zurück zu den ersten Textzeilen, und markieren Sie „(Inhalt)“. Siehe Abbildung unten.
Nachdem dieser Text hervorgehoben wurde, wird auf der rechten Seite des Aktionsfelds Dynamischer Inhalt angezeigt. Suchen Sie in der Suchleiste des dynamischen Inhaltes operationName und wählen Sie diese Option dann aus.
Kehren Sie erneut innerhalb des Wertfelds, in das Sie die Vorlage eingefügt haben, zu den ersten Textzeilen zurück, und markieren Sie „(Datum und Zeit)“. Siehe Abbildung unten.
Nachdem dieser Text hervorgehoben wurde, sollte der Abschnitt Dynamischer Inhalt rechts neben dem Aktionsfeld angezeigt werden. Wechseln Sie zur Registerkarte „Ausdruck“, und geben Sie den folgenden Code im Eingabefeld ein:
formatDateTime(variables('dateTime'),'yyyy-MM-dd tH:mm:ss')Nachdem Sie den vorherigen Code in das Eingabefeld eingefügt haben, wählen Sie OK aus.
Weitere Informationen zur Verwendung dynamischer Inhalte zum weiteren Anpassen der E-Mail finden Sie unter Workflow dynamischer Inhalt.
Senden der Sicherheits-E-Mail
Wählen Sie unter der Aktion Variable festlegen die Option Aktion hinzufügen aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie in das Suchfeld den Suchbegriff For Each ein, und wählen Sie dann von der Aktionsliste die Aktion For Each aus.
Wählen Sie innerhalb von Auswählen einer Ausgabe aus vorherigen SchrittentargetResources aus dynamischer Inhalt aus.
Wählen Sie innerhalb des Aktionsblocks For each 2 und unter targetResources die Option Aktion hinzufügen aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie im Suchfeld Bedingung ein und wählen Sie aus der Aktionsliste die Aktion Zustand aus.
Suchen Sie innerhalb von Einen Wert auswählen nach operationName und wählen Sie es aus.
Geben Sie in Wert auswählen den genauen Namen der Aktivität ein, die Sie mit den E-Mails der Sicherheitsbenachrichtigung senden möchten. Die vollständige Liste der Aktivitäten, nach der Sie filtern und Benachrichtigungen senden können, finden Sie unter Überwachungsprotokollaktivitäten.
In diesem Lernprogramm senden wir E-Mails für die Aktivität Benutzerkennwort zurücksetzen.
Wenn Sie Sicherheits-E-Mails für mehrere Aktivitäten senden möchten, wählen Sie im Aktionsblock Bedingunghinzufügen und dann Zeile hinzufügen aus, und wiederholen Sie diese Schritte für verschiedene Aktivitätsnamen in Wert auswählen.
Einrichten von E-Mail-Benachrichtigungen
Unter Bedingung gibt es Aktionen für True und False. Wählen Sie im Aktionsfeld True die Option Aktion hinzufügen aus.
Wählen Sie unter Vorgang auswählen die Option Integriert aus. Geben Sie in das Suchfeld E-Mail ein, und wählen Sie Office 365 Outlook aus. Anstelle von Outlook-E-Mails können Sie Benachrichtigungen mit verschiedenen Diensten senden. Um unterschiedliche Dienste zu finden, wechseln Sie in der Suchleiste unter Operation auswählen nach dem gewünschten Dienst.
Scrollen Sie unter Aktionen nach unten, und wählen Sie E-Mail senden (V2) aus.
Suchen Sie im Feld An in Dynamischer Inhalt nach userPrincipalName und wählen Sie die zweite Option aus.
Suchen Sie im Feld Antragsteller in Dynamischer Inhalt nach operationName und wählen Sie es aus.
Suchen Sie im Textfeld unter Dynamischer Inhalt nach emailBody und wählen Sie es aus.
Sie können Wichtigkeit auswählen, um die Wichtigkeit der E-Mail zu ändern.
Ausführen Ihres Workflows
Wählen Sie auf der Symbolleiste des Designers Trigger ausführen>Ausführen aus, um Ihren Workflow manuell zu starten. Wenn die Überwachungsprotokolle an den Event Hub streamen, lösen sie die Logik-App aus, damit sie die Sicherheitsbenachrichtigung sendet.
Dieser Workflow kann angepasst werden, um andere Protokolle und Aktivitäten zu filtern oder Benachrichtigungen über verschiedene Dienste wie Teams zu senden, um die beste Erfahrung zum aufmerksam machen Ihrer Benutzer auf verdächtige Aktivitäten zu schaffen.