Compartir a través de

Cómo usar Azure Monitor para enviar una notificación por correo a través de Azure Security Center Alerts (es-MX)

  • Artículo

Artículo Original: https://blogs.technet.microsoft.com/yuridiogenes/2018/08/01/using-azure-monitor-to-send-an-email-notification-for-azure-security-center-alerts/

 El Centro de seguridad de Azure (Azure Security Center) le permite proporcionar un contacto de seguridad que recibirá notificaciones de alertas de seguridad por correo electrónico, tenga en cuenta que estas notificaciones se enviarán solo en la primera aparición diaria de una alerta de gravedad alta. Puede leer Detalles de contacto de seguridad en Azure Security Center para obtener más información sobre cómo configurar esta opción. Sin embargo, si desea recibir un correo electrónico para cada alerta individual que aparece en Azure Security Center, puede usar Azure Monitor.

Los eventos procesados producidos por Azure Security Center se publican en el registro de actividades de Azure y, a través de Azure Monitor, puede crear alertas clásicas de registro de actividades. Esta alerta de registro de transmisión se activa cuando se genera un evento de registro de actividad que coincide con los criterios de filtro que ha asignado. El siguiente diagrama muestra el flujo de Azure Security Center a Azure Monitor:

https://msdnshared.blob.core.windows.net/media/2018/08/Fig0.jpg

Ahora que comprende el flujo, siga los pasos a continuación para configurar esta integración:

  1. Crea una regla de monitor de Azure
  • Puede crear una regla clásica usando el procedimiento de este artículo.
    • Asegúrese de personalizar al menos esta configuración:
      • En Criterios / Categoría de evento, seleccione Seguridad.
  • Lea este artículo para ver un ejemplo del esquema de registro de actividad para la categoría de seguridad.

 2. Simule una alerta

Puede usar este libro de estrategias para simular alertas, o simplemente usar este procedimiento de validación de alertas.
Cuando se active la alerta, recibirá un correo electrónico (si esta es la acción que seleccionó) similar al siguiente:

https://msdnshared.blob.core.windows.net/media/2018/08/Fig2.jpg

Al revisar este correo electrónico, debe revisar todos los campos, pero preste mucha atención a los siguientes:

Alerta de registro de actividad: la gravedad de la alerta (en este caso es alta)

Hora: el momento en que se generó la alerta

Propiedades: este campo traerá todo el lert que ve en Security Center, notó que dentro de este campo, hay otros campos, como resourceType, comprometisedEntity y otros. Aunque están todos en un solo párrafo, es fácil de compilar.