Riasztás emelt szintű Azure-szerepkör-hozzárendelésekről

  • Cikk

A kiemelt Azure-szerepkörök, például a Közreműködő, a Tulajdonos vagy a Felhasználói hozzáférés Rendszergazda istrator hatékony szerepkörök, és kockázatot jelenthetnek a rendszerben. Előfordulhat, hogy e-mailben vagy sms-ben szeretne értesítést kapni ezek vagy más szerepkörök hozzárendeléséről. Ez a cikk azt ismerteti, hogyan kaphat értesítést a kiemelt szerepkör-hozzárendelésekről az előfizetés hatókörében egy riasztási szabály Azure Monitor használatával történő létrehozásával.

Előfeltételek

Riasztási szabály létrehozásához a következőkre van szükség:

  • Hozzáférés egy Azure-előfizetéshez
  • Engedély erőforráscsoportok és erőforrások létrehozására az előfizetésen belül
  • A Log Analytics úgy van konfigurálva, hogy hozzáférhessen az AzureActivity táblához

Költségek becslése az Azure Monitor használata előtt

Az Azure Monitor és a riasztási szabályok használatával kapcsolatban költségek merülnek fel. A költség a lekérdezés végrehajtásának gyakorisága és a kiválasztott értesítések alapján történik. További információkért tekintse meg az Azure Monitor díjszabását.

Create an alert rule

Ha értesítést szeretne kapni a kiemelt szerepkör-hozzárendelésekről, hozzon létre egy riasztási szabályt az Azure Monitorban.

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Figyelés elemre.

  3. A bal oldali navigációs sávon kattintson a Riasztások elemre.

  4. Kattintson a Riasztás létrehozása szabályra>. Megnyílik a Riasztási szabály létrehozása lap.

  5. A Hatókör lapon válassza ki az előfizetést.

  6. A Feltétel lapon válassza ki az egyéni naplókeresési jel nevét.

  7. A Napló lekérdezési mezőben adja hozzá a következő Kusto-lekérdezést, amely az előfizetés naplójában fog futni, és aktiválja a riasztást.

    Ez a lekérdezés szűri a közreműködői, tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkörök hozzárendelésére tett kísérleteket a kiválasztott előfizetés hatókörében.

    AzureActivity
| where CategoryValue =~ "Administrative" and
    OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
    (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
| extend Properties_d = todynamic(Properties)
| extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
| extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
| where Scope !contains "resourcegroups"
| extend RoleId = split(RoleDefinition,'/')[-1]
| extend RoleDisplayName = case(
    RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
    RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
    RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
    "Irrelevant")
| where RoleDisplayName != "Irrelevant"
| project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName

    Screenshot of Create an alert rule condition tab in Azure Monitor.

  8. A Mérés szakaszban állítsa be a következő értékeket:

    • Mérték: Táblázatsorok
    • Összesítés típusa: Darabszám
    • Összesítés részletessége: 5 perc

    Az összesítés részletessége érdekében az alapértelmezett értéket a kívánt gyakoriságra módosíthatja.

  9. A Felosztás dimenziók szerint szakaszban állítsa az Erőforrás-azonosító oszlopotNe ossza fel.

  10. A Riasztás logikai szakaszban állítsa be a következő értékeket:

    • Operátor: Nagyobb, mint
    • Küszöbérték: 0
    • A kiértékelés gyakorisága: 5 perc

    A kiértékelés gyakorisága esetén az alapértelmezett értéket a kívánt gyakoriságra módosíthatja.

  11. A Műveletek lapon hozzon létre egy műveletcsoportot, vagy válasszon ki egy meglévő műveletcsoportot.

    Egy műveletcsoport határozza meg a riasztás aktiválásakor végrehajtott műveleteket és értesítéseket.

    Műveletcsoport létrehozásakor meg kell adnia azt az erőforráscsoportot, amelybe a műveletcsoportot be szeretné helyezni. Ezután válassza ki az értesítéseket (e-mail/SMS-üzenet/Leküldés/Hangművelet) a riasztási szabály aktiválásakor való meghíváshoz. Kihagyhatja a Műveletek és címke füleket. További információ: Műveletcsoportok létrehozása és kezelése az Azure Portalon.

  12. A Részletek lapon válassza ki az erőforráscsoportot a riasztási szabály mentéséhez.

  13. A Riasztási szabály részletei szakaszban válasszon ki egy súlyosságot , és adjon meg egy riasztási szabálynevet.

  14. Régió esetén bármelyik régiót kiválaszthatja, mivel az Azure-tevékenységnaplók globálisak.

  15. Hagyja ki a Címkék lapot.

  16. A Véleményezés + létrehozás lapon kattintson a Létrehozás gombra a riasztási szabály létrehozásához.

A riasztási szabály tesztelése

Miután létrehozott egy riasztási szabályt, tesztelheti, hogy az aktiválódik-e.

  1. Rendelje hozzá a közreműködői, tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkört az előfizetés hatókörébe. For more information, see Assign Azure roles using the Azure portal.

  2. Várjon néhány percet, hogy megkapja a riasztást az összesítés részletessége és a napló lekérdezés kiértékelésének gyakorisága alapján.

  3. A Riasztások lapon figyelje a műveletcsoportban megadott riasztásokat.

    Screenshot of the Alerts page showing that role assignment alert fired.

    Az alábbi képen egy példa látható az e-mail-riasztásra.

    Screenshot of an email alert for a role assignment.

A riasztási szabály törlése

A szerepkör-hozzárendelési riasztási szabály törléséhez és a további költségek leállításához kövesse az alábbi lépéseket.

  1. A Monitorban lépjen a Riasztások elemre.

  2. A sávon kattintson a Riasztási szabályok elemre.

  3. Adjon hozzá egy pipát a törölni kívánt riasztási szabály mellett.

  4. Kattintson a Törlés gombra a riasztás eltávolításához.

Következő lépések