Waarschuwing over bevoorrechte Azure-roltoewijzingen

  • Artikel

Bevoorrechte Azure-rollen, zoals Inzender, Eigenaar of Gebruikerstoegang Beheer istrator, zijn krachtige rollen en kunnen risico's in uw systeem veroorzaken. Mogelijk wilt u een melding ontvangen via e-mail of sms wanneer deze of andere rollen zijn toegewezen. In dit artikel wordt beschreven hoe u een melding ontvangt over bevoorrechte roltoewijzingen binnen een abonnementsbereik door een waarschuwingsregel te maken met behulp van Azure Monitor.

Vereisten

Als u een waarschuwingsregel wilt maken, moet u het volgende hebben:

  • Toegang tot een Azure-abonnement
  • Machtiging voor het maken van resourcegroepen en resources binnen het abonnement
  • Log Analytics geconfigureerd zodat deze toegang heeft tot de AzureActivity-tabel

Kosten schatten voordat u Azure Monitor gebruikt

Er zijn kosten verbonden aan het gebruik van Azure Monitor en waarschuwingsregels. De kosten zijn gebaseerd op de frequentie waarop de query wordt uitgevoerd en de geselecteerde meldingen. Zie prijzen voor Azure Monitor voor meer informatie.

Een waarschuwingsregel maken

Als u een melding wilt ontvangen over bevoorrechte roltoewijzingen, maakt u een waarschuwingsregel in Azure Monitor.

  1. Meld u aan bij de Azure-portal.

  2. Navigeer naar Monitor.

  3. Klik in het linkernavigatievenster op Waarschuwingen.

  4. Klik op Waarschuwingsregel maken>. De pagina Waarschuwingsregel maken wordt geopend.

  5. Selecteer uw abonnement op het tabblad Bereik .

  6. Selecteer op het tabblad Voorwaarde de naam van het aangepaste zoeksignaal voor logboeken.

  7. Voeg in het vak Logboekquery de volgende Kusto-query toe die wordt uitgevoerd in het logboek van het abonnement en activeer de waarschuwing.

    Deze query filtert op pogingen om de rollen Inzender, Eigenaar of Gebruikerstoegang toe te wijzen Beheer istrator binnen het bereik van het geselecteerde abonnement.

    AzureActivity
| where CategoryValue =~ "Administrative" and
    OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
    (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
| extend Properties_d = todynamic(Properties)
| extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
| extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
| where Scope !contains "resourcegroups"
| extend RoleId = split(RoleDefinition,'/')[-1]
| extend RoleDisplayName = case(
    RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
    RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
    RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
    "Irrelevant")
| where RoleDisplayName != "Irrelevant"
| project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName

    Screenshot of Create an alert rule condition tab in Azure Monitor.

  8. Stel in de sectie Meting de volgende waarden in:

    • Meting: Tabelrijen
    • Aggregatietype: Aantal
    • Aggregatiegranulariteit: 5 minuten

    Voor aggregatiegranulariteit kunt u de standaardwaarde wijzigen in een gewenste frequentie.

  9. Stel in de sectie Splitsen op dimensies de kolom Resource-id in op Niet splitsen.

  10. Stel in de sectie Waarschuwingslogica de volgende waarden in:

    • Operator: Groter dan
    • Drempelwaarde: 0
    • Frequentie van evaluatie: 5 minuten

    Voor frequentie van evaluatie kunt u de standaardwaarde wijzigen in een gewenste frequentie.

  11. Maak op het tabblad Acties een actiegroep of selecteer een bestaande actiegroep.

    Een actiegroep definieert de acties en meldingen die worden uitgevoerd wanneer de waarschuwing wordt geactiveerd.

    Wanneer u een actiegroep maakt, moet u de resourcegroep opgeven waarin de actiegroep moet worden geplaatst. Selecteer vervolgens de meldingen (e-mail/sms-bericht/push-/spraakactie) om aan te roepen wanneer de waarschuwingsregel wordt geactiveerd. U kunt de tabbladen Acties en Tags overslaan. Zie Actiegroepen maken en beheren in Azure Portal voor meer informatie.

  12. Selecteer op het tabblad Details de resourcegroep om de waarschuwingsregel op te slaan.

  13. Selecteer in de sectie Details van waarschuwingsregel een ernst en geef een naam op voor de waarschuwingsregel.

  14. Voor Regio kunt u elke regio selecteren omdat azure-activiteitenlogboeken globaal zijn.

  15. Sla het tabblad Tags over.

  16. Klik op het tabblad Controleren en maken op Maken om de waarschuwingsregel te maken.

De waarschuwingsregel testen

Nadat u een waarschuwingsregel hebt gemaakt, kunt u testen of deze wordt geactiveerd.

  1. Wijs de rol Inzender, Eigenaar of Gebruikerstoegang toe Beheer istrator binnen het abonnementsbereik. Zie voor meer informatie Azure-rollen toewijzen met behulp van de Azure-portal.

  2. Wacht enkele minuten om de waarschuwing te ontvangen op basis van de aggregatiegranulariteit en de frequentie van de evaluatie van de logboekquery.

  3. Controleer op de pagina Waarschuwingen op waarschuwingen die u hebt opgegeven in de actiegroep.

    Screenshot of the Alerts page showing that role assignment alert fired.

    In de volgende afbeelding ziet u een voorbeeld van de e-mailwaarschuwing.

    Screenshot of an email alert for a role assignment.

De waarschuwingsregel verwijderen

Volg deze stappen om de waarschuwingsregel voor roltoewijzing te verwijderen en extra kosten te stoppen.

  1. Navigeer in Monitor naar Waarschuwingen.

  2. Klik in de balk op Waarschuwingsregels.

  3. Voeg een vinkje toe naast de waarschuwingsregel die u wilt verwijderen.

  4. Klik op Verwijderen om de waarschuwing te verwijderen.

Volgende stappen