Riasztás emelt szintű Azure-szerepkör-hozzárendelésekről
A kiemelt Azure-szerepkörök, például a Közreműködő, a Tulajdonos vagy a Felhasználói hozzáférés Rendszergazda istrator hatékony szerepkörök, és kockázatot jelenthetnek a rendszerben. Előfordulhat, hogy e-mailben vagy sms-ben szeretne értesítést kapni ezek vagy más szerepkörök hozzárendeléséről. Ez a cikk azt ismerteti, hogyan kaphat értesítést a kiemelt szerepkör-hozzárendelésekről az előfizetés hatókörében egy riasztási szabály Azure Monitor használatával történő létrehozásával.
Előfeltételek
Riasztási szabály létrehozásához a következőkre van szükség:
- Hozzáférés egy Azure-előfizetéshez
- Engedély erőforráscsoportok és erőforrások létrehozására az előfizetésen belül
- A Log Analytics úgy van konfigurálva, hogy hozzáférhessen az AzureActivity táblához
Költségek becslése az Azure Monitor használata előtt
Az Azure Monitor és a riasztási szabályok használatával kapcsolatban költségek merülnek fel. A költség a lekérdezés végrehajtásának gyakorisága és a kiválasztott értesítések alapján történik. További információkért tekintse meg az Azure Monitor díjszabását.
Create an alert rule
Ha értesítést szeretne kapni a kiemelt szerepkör-hozzárendelésekről, hozzon létre egy riasztási szabályt az Azure Monitorban.
Jelentkezzen be az Azure Portalra.
Lépjen a Figyelés elemre.
A bal oldali navigációs sávon kattintson a Riasztások elemre.
Kattintson a Riasztás létrehozása szabályra>. Megnyílik a Riasztási szabály létrehozása lap.
A Hatókör lapon válassza ki az előfizetést.
A Feltétel lapon válassza ki az egyéni naplókeresési jel nevét.
A Napló lekérdezési mezőben adja hozzá a következő Kusto-lekérdezést, amely az előfizetés naplójában fog futni, és aktiválja a riasztást.
Ez a lekérdezés szűri a közreműködői, tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkörök hozzárendelésére tett kísérleteket a kiválasztott előfizetés hatókörében.
AzureActivity | where CategoryValue =~ "Administrative" and OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started") | extend Properties_d = todynamic(Properties) | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string)) | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string)) | where Scope !contains "resourcegroups" | extend RoleId = split(RoleDefinition,'/')[-1] | extend RoleDisplayName = case( RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor", RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner", RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator", "Irrelevant") | where RoleDisplayName != "Irrelevant" | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
A Mérés szakaszban állítsa be a következő értékeket:
- Mérték: Táblázatsorok
- Összesítés típusa: Darabszám
- Összesítés részletessége: 5 perc
Az összesítés részletessége érdekében az alapértelmezett értéket a kívánt gyakoriságra módosíthatja.
A Felosztás dimenziók szerint szakaszban állítsa az Erőforrás-azonosító oszlopotNe ossza fel.
A Riasztás logikai szakaszban állítsa be a következő értékeket:
- Operátor: Nagyobb, mint
- Küszöbérték: 0
- A kiértékelés gyakorisága: 5 perc
A kiértékelés gyakorisága esetén az alapértelmezett értéket a kívánt gyakoriságra módosíthatja.
A Műveletek lapon hozzon létre egy műveletcsoportot, vagy válasszon ki egy meglévő műveletcsoportot.
Egy műveletcsoport határozza meg a riasztás aktiválásakor végrehajtott műveleteket és értesítéseket.
Műveletcsoport létrehozásakor meg kell adnia azt az erőforráscsoportot, amelybe a műveletcsoportot be szeretné helyezni. Ezután válassza ki az értesítéseket (e-mail/SMS-üzenet/Leküldés/Hangművelet) a riasztási szabály aktiválásakor való meghíváshoz. Kihagyhatja a Műveletek és címke füleket. További információ: Műveletcsoportok létrehozása és kezelése az Azure Portalon.
A Részletek lapon válassza ki az erőforráscsoportot a riasztási szabály mentéséhez.
A Riasztási szabály részletei szakaszban válasszon ki egy súlyosságot , és adjon meg egy riasztási szabálynevet.
Régió esetén bármelyik régiót kiválaszthatja, mivel az Azure-tevékenységnaplók globálisak.
Hagyja ki a Címkék lapot.
A Véleményezés + létrehozás lapon kattintson a Létrehozás gombra a riasztási szabály létrehozásához.
A riasztási szabály tesztelése
Miután létrehozott egy riasztási szabályt, tesztelheti, hogy az aktiválódik-e.
Rendelje hozzá a közreműködői, tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkört az előfizetés hatókörébe. For more information, see Assign Azure roles using the Azure portal.
Várjon néhány percet, hogy megkapja a riasztást az összesítés részletessége és a napló lekérdezés kiértékelésének gyakorisága alapján.
A Riasztások lapon figyelje a műveletcsoportban megadott riasztásokat.
Az alábbi képen egy példa látható az e-mail-riasztásra.
A riasztási szabály törlése
A szerepkör-hozzárendelési riasztási szabály törléséhez és a további költségek leállításához kövesse az alábbi lépéseket.
A Monitorban lépjen a Riasztások elemre.
A sávon kattintson a Riasztási szabályok elemre.
Adjon hozzá egy pipát a törölni kívánt riasztási szabály mellett.
Kattintson a Törlés gombra a riasztás eltávolításához.