Uso de Azure PIM para administrar alertas con la API REST

  • Artículo

Azure Privileged Identity Management (PIM) genera alertas cuando hay actividades sospechosas o no seguras en su organización en Azure Active Directory (Azure AD), parte de Microsoft Entra. En este artículo se describe cómo administrar estas alertas mediante la API REST. Estas alertas también se pueden administrar a través del Azure Portal.

Enumeración de alertas

Para enumerar las alertas, puede usar la API REST Alerts - List For Scope . Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/read en el ámbito especificado. A todos los roles integrados se les concede acceso a esta operación.

  1. Empiece con la solicitud siguiente:

    GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlerts?api-version=2022-08-01-preview

  2. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea enumerar las alertas.

Descartar una alerta

Para descartar una alerta, puede usar la API REST Alerts - Update . Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/write en el ámbito especificado. Entre los roles integrados, solo se concede acceso a esta operación a Propietario y Administrador de acceso de usuario.

  1. Empiece con la solicitud siguiente:

    PATCH https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlerts/{roleManagementAlertName}?api-version=2022-08-01-preview

    {
  "Properties": {
    "IsActive": false
    }
}

  2. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea descartar la alerta.

  3. Reemplace {roleManagementAlertName} por el nombre de la alerta (por ejemplo, DuplicateRoleCreated).

Actualizar una alerta

Para actualizar una alerta específica, puede usar la API REST Alerts - Refresh . Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/write en el ámbito especificado. Entre los roles integrados, solo se concede acceso a esta operación a Propietario y Administrador de acceso de usuario.

  1. Empiece con la solicitud siguiente:

    POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlerts/{roleManagementAlertName}/refresh?api-version=2022-08-01-preview

  2. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea actualizar las alertas.

  3. Reemplace {roleManagementAlertName} por el nombre de la alerta (por ejemplo, TooManyPermanentOwnersAssignedToResource).

  4. Use la dirección URL proporcionada en el Location encabezado de la respuesta para comprobar el estado de la operación de actualización de alertas.

Actualizar alertas

Para actualizar todas las alertas en un ámbito, puede usar la API REST Alerts - Refresh All (Alertas: actualizar todas). Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/write en el ámbito especificado. Entre los roles integrados, solo se concede acceso a esta operación a Propietario y Administrador de acceso de usuario.

  1. Empiece con la solicitud siguiente:

    POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlerts/refresh?api-version=2022-08-01-preview

  2. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea actualizar las alertas.

  3. Use la dirección URL proporcionada en el Location encabezado de la respuesta para comprobar el estado de la operación de actualización de alertas.

Actualización de una configuración de alerta

Para actualizar una configuración de alertas, puede usar la API REST Alert Configurations - Update . Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/write en el ámbito especificado. Entre los roles integrados, solo se concede acceso a esta operación a Propietario y Administrador de acceso de usuario.

  1. Determine qué propiedades de configuración desea actualizar. Cada configuración de alerta tiene propiedades diferentes, que puede ver mediante las configuraciones de alertas de administración de roles: lista para la API REST de ámbito .

  2. Empiece con la solicitud siguiente:

    PATCH https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlertConfigurations/{roleManagementAlertConfigurationName}?api-version=2022-08-01-preview

    {
  "Properties": {
    "thresholdNumberOfOwners": 5,
    "thresholdPercentageOfOwnersOutOfAllRoleMembers": 10
    }
}

  3. Actualice el cuerpo de la solicitud para incluir las propiedades que desea actualizar y los valores deseados.

  4. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea actualizar las alertas.

  5. Reemplace {roleManagementAlertConfigurationName} por el nombre de la alerta (por ejemplo, DuplicateRoleCreated).

Corrección de un incidente de alerta

Para corregir un incidente de alerta, puede usar la API REST Alert Incidents - Remediate (Incidentes de alerta: corrección ). Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/write en el ámbito especificado. Entre los roles integrados, solo se concede acceso a esta operación a Propietario y Administrador de acceso de usuario.

  1. Empiece con la solicitud siguiente:

    POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleManagementAlerts/{roleManagementAlertName}/alertIncidents/{roleManagementAlertIncidentName}/remediate?api-version=2022-08-01-preview

  2. En el URI, reemplace {subscriptionId} por el identificador de la suscripción para la que desea actualizar las alertas.

  3. Reemplace {roleManagementAlertName} por el nombre de la alerta (por ejemplo, TooManyOwnersAssignedToResource).

  4. Reemplace {roleManagementAlertIncidentName} por el nombre del incidente de alerta.