Pemberitahuan tentang penetapan peran Azure istimewa

Peran Azure istimewa, seperti Kontributor, Pemilik, atau Administrator Akses Pengguna, adalah peran yang kuat dan dapat menimbulkan risiko ke dalam sistem Anda. Anda mungkin ingin diberi tahu melalui email atau pesan teks saat peran ini atau lainnya ditetapkan. Artikel ini menjelaskan cara mendapatkan pemberitahuan tentang penetapan peran istimewa pada cakupan langganan dengan membuat aturan pemberitahuan menggunakan Azure Monitor.

Prasyarat

Untuk membuat aturan pemberitahuan, Anda harus memiliki:

• Mengakses langganan Azure
• Izin untuk membuat grup sumber daya dan sumber daya dalam langganan
• Analitik Log dikonfigurasi sehingga memiliki akses ke tabel AzureActivity

Memperkirakan biaya sebelum menggunakan Azure Monitor

Ada biaya yang terkait dengan penggunaan Azure Monitor dan aturan pemberitahuan. Biaya didasarkan pada frekuensi kueri dijalankan dan pemberitahuan yang dipilih. Untuk informasi selengkapnya, lihat Harga Azure Monitor.

Buat Aturan Pemberitahuan

Untuk mendapatkan pemberitahuan tentang penetapan peran istimewa, Anda membuat aturan pemberitahuan di Azure Monitor.

1. Masuk ke portal Azure.

2. Navigasi ke Monitor.

3. Di navigasi kiri, klik Pemberitahuan.

4. Klik Buat>aturan Pemberitahuan. Halaman Buat aturan pemberitahuan terbuka.

5. Pada tab Cakupan , pilih langganan Anda.

6. Pada tab Kondisi , pilih nama sinyal pencarian log kustom.

7. Dalam kotak Kueri log , tambahkan kueri Kusto berikut yang akan berjalan pada log langganan dan picu pemberitahuan.

   Kueri ini memfilter upaya untuk menetapkan peran Kontributor, Pemilik, atau Administrator Akses Pengguna pada cakupan langganan yang dipilih.

   AzureActivity
   | where CategoryValue =~ "Administrative" and
       OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
       (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
   | extend Properties_d = todynamic(Properties)
   | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
   | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
   | where Scope !contains "resourcegroups"
   | extend RoleId = split(RoleDefinition,'/')[-1]
   | extend RoleDisplayName = case(
       RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
       RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
       RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
       "Irrelevant")
   | where RoleDisplayName != "Irrelevant"
   | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
   

   

8. Di bagian Pengukuran , atur nilai berikut ini:

   • Pengukuran: Baris tabel
   • Jenis agregasi: Hitungan
   • Granularitas agregasi: 5 menit

   Untuk Granularitas agregasi, Anda dapat mengubah nilai default menjadi frekuensi yang Anda inginkan.

9. Di bagian Pisahkan menurut dimensi, atur kolom ID Sumber Daya ke Jangan pisahkan.

10. Di bagian Logika pemberitahuan, atur nilai berikut:

    • Operator: Lebih besar dari
    • Nilai ambang batas: 0
    • Frekuensi evaluasi: 5 menit

    Untuk Frekuensi evaluasi, Anda dapat mengubah nilai default menjadi frekuensi yang Anda inginkan.

11. Pada tab Tindakan , buat grup tindakan atau pilih grup tindakan yang sudah ada.

    Grup tindakan menentukan tindakan dan pemberitahuan yang dijalankan saat pemberitahuan dipicu.

    Saat membuat grup tindakan, Anda harus menentukan grup sumber daya untuk menempatkan grup tindakan di dalamnya. Kemudian, pilih pemberitahuan (pesan Email/SMS/tindakan Push/Voice) untuk dipanggil saat aturan pemberitahuan memicu. Anda dapat melewati tab Tindakan dan Tag . Untuk informasi selengkapnya, lihat Membuat dan mengelola grup tindakan di portal Azure.

12. Pada tab Detail , pilih grup sumber daya untuk menyimpan aturan pemberitahuan.

13. Di bagian Detail aturan pemberitahuan, pilih Tingkat Keparahan dan tentukan Nama aturan pemberitahuan.

14. Untuk Wilayah, Anda dapat memilih wilayah mana pun karena log aktivitas Azure bersifat global.

15. Lewati tab Tag .

16. Pada tab Tinjau + buat , klik Buat untuk membuat aturan pemberitahuan Anda.

Menguji aturan pemberitahuan

Setelah membuat aturan pemberitahuan, Anda dapat menguji bahwa aturan tersebut diaktifkan.

1. Tetapkan peran Kontributor, Pemilik, atau Administrator Akses Pengguna di cakupan langganan. Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

2. Tunggu beberapa menit untuk menerima pemberitahuan berdasarkan granularitas agregasi dan frekuensi evaluasi kueri log.

3. Pada halaman Pemberitahuan , pantau pemberitahuan yang Anda tentukan dalam grup tindakan.

   

   Gambar berikut menunjukkan contoh pemberitahuan email.

   

Menghapus aturan pemberitahuan

Ikuti langkah-langkah ini untuk menghapus aturan pemberitahuan penetapan peran dan menghentikan biaya tambahan.

1. Di Monitor, navigasikan ke Pemberitahuan.

2. Di bilah, klik Aturan pemberitahuan.

3. Tambahkan tanda centang di samping aturan pemberitahuan yang ingin Anda hapus.

4. Klik Hapus untuk menghapus pemberitahuan.

Langkah berikutnya

• Membuat, melihat, dan mengelola peringatan log aktivitas dengan menggunakan Azure Monitor
• Menampilkan log aktivitas untuk perubahan Azure RBAC