Alert dotyczący uprzywilejowanych przypisań ról platformy Azure

Uprzywilejowane role platformy Azure, takie jak współautor, właściciel lub Administracja istrator dostępu użytkowników, są zaawansowanymi rolami i mogą powodować ryzyko w systemie. Być może chcesz otrzymywać powiadomienia pocztą e-mail lub wiadomości sms po przypisaniu tych lub innych ról. W tym artykule opisano sposób otrzymywania powiadomień o przypisaniach ról uprzywilejowanych w zakresie subskrypcji przez utworzenie reguły alertu przy użyciu usługi Azure Monitor.

Wymagania wstępne

Aby utworzyć regułę alertu, musisz mieć następujące elementy:

• Dostęp do subskrypcji platformy Azure
• Uprawnienie do tworzenia grup zasobów i zasobów w ramach subskrypcji
• Usługa Log Analytics skonfigurowana tak, aby miał dostęp do tabeli AzureActivity

Szacowanie kosztów przed użyciem usługi Azure Monitor

Istnieje koszt związany z używaniem usługi Azure Monitor i reguł alertów. Koszt zależy od częstotliwości wykonywania zapytania i wybranych powiadomień. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Tworzenie reguły alertu

Aby otrzymywać powiadomienia o przypisaniach ról uprzywilejowanych, należy utworzyć regułę alertu w usłudze Azure Monitor.

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do pozycji Monitor.

3. W obszarze nawigacji po lewej stronie kliknij pozycję Alerty.

4. Kliknij pozycję Utwórz>regułę alertu. Zostanie otwarta strona Tworzenie reguły alertu.

5. Na karcie Zakres wybierz swoją subskrypcję.

6. Na karcie Warunek wybierz nazwę sygnału wyszukiwania w dzienniku niestandardowym.

7. W polu Zapytanie dziennika dodaj następujące zapytanie Kusto, które zostanie uruchomione w dzienniku subskrypcji i wyzwoli alert.

   To zapytanie filtruje próby przypisania ról współautora, właściciela lub dostępu użytkowników Administracja istrator w zakresie wybranej subskrypcji.

   AzureActivity
   | where CategoryValue =~ "Administrative" and
       OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
       (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
   | extend Properties_d = todynamic(Properties)
   | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
   | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
   | where Scope !contains "resourcegroups"
   | extend RoleId = split(RoleDefinition,'/')[-1]
   | extend RoleDisplayName = case(
       RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
       RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
       RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
       "Irrelevant")
   | where RoleDisplayName != "Irrelevant"
   | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
   

   

8. W sekcji Miara ustaw następujące wartości:

   • Miara: wiersze tabeli
   • Typ agregacji: Liczba
   • Stopień szczegółowości agregacji: 5 minut

   W obszarze Stopień szczegółowości agregacji można zmienić wartość domyślną na wybraną częstotliwość.

9. W sekcji Podział według wymiarów ustaw kolumnę Identyfikator zasobu na Nie podziel.

10. W sekcji Logika alertu ustaw następujące wartości:

    • Operator: większe niż
    • Wartość progowa: 0
    • Częstotliwość oceny: 5 minut

    W polu Częstotliwość oceny możesz zmienić wartość domyślną na częstotliwość, której potrzebujesz.

11. Na karcie Akcje utwórz grupę akcji lub wybierz istniejącą grupę akcji.

    Grupa akcji definiuje akcje i powiadomienia, które są wykonywane po wyzwoleniu alertu.

    Podczas tworzenia grupy akcji należy określić grupę zasobów, w której ma zostać umieszczona grupa akcji. Następnie wybierz powiadomienia (wiadomość e-mail/wiadomość SMS/akcja wypychania/głosu), które mają być wywoływane po wyzwoleniu reguły alertu. Możesz pominąć karty Akcje i tag . Aby uzyskać więcej informacji, zobacz Tworzenie grup akcji i zarządzanie nimi w witrynie Azure Portal.

12. Na karcie Szczegóły wybierz grupę zasobów, aby zapisać regułę alertu.

13. W sekcji Szczegóły reguły alertu wybierz ważność i określ nazwę reguły alertu.

14. W polu Region możesz wybrać dowolny region, ponieważ dzienniki aktywności platformy Azure są globalne.

15. Pomiń kartę Tagi .

16. Na karcie Przeglądanie i tworzenie kliknij pozycję Utwórz, aby utworzyć regułę alertu.

Testowanie reguły alertu

Po utworzeniu reguły alertu możesz ją przetestować.

1. Przypisz rolę współautora, właściciela lub Administracja istratora dostępu użytkowników w zakresie subskrypcji. Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.

2. Poczekaj kilka minut na odebranie alertu na podstawie stopnia szczegółowości agregacji i częstotliwości oceny zapytania dziennika.

3. Na stronie Alerty monitoruj alert określony w grupie akcji.

   

   Na poniższej ilustracji przedstawiono przykład alertu e-mail.

   

Usuwanie reguły alertu

Wykonaj następujące kroki, aby usunąć regułę alertu przypisania roli i zatrzymać dodatkowe koszty.

1. W obszarze Monitorowanie przejdź do pozycji Alerty.

2. Na pasku kliknij pozycję Reguły alertów.

3. Dodaj znacznik wyboru obok reguły alertu, którą chcesz usunąć.

4. Kliknij przycisk Usuń, aby usunąć alert.

Następne kroki

• Tworzenie i wyświetlanie alertów dziennika aktywności oraz zarządzanie nimi za pomocą usługi Azure Monitor
• Wyświetlanie dzienników aktywności dla zmian kontroli dostępu opartej na rolach platformy Azure