Avisering om privilegierade Azure-rolltilldelningar

  • Artikel

Privilegierade Azure-roller, till exempel deltagare, ägare eller administratör för användaråtkomst, är kraftfulla roller och kan medföra risker i systemet. Du kanske vill få ett meddelande via e-post eller sms när dessa eller andra roller tilldelas. Den här artikeln beskriver hur du får meddelanden om privilegierade rolltilldelningar i ett prenumerationsomfång genom att skapa en aviseringsregel med Hjälp av Azure Monitor.

Förutsättningar

Om du vill skapa en aviseringsregel måste du ha:

  • Åtkomst till en Azure-prenumeration
  • Behörighet att skapa resursgrupper och resurser i prenumerationen
  • Log Analytics har konfigurerats så att det har åtkomst till AzureActivity-tabellen

Beräkna kostnader innan du använder Azure Monitor

Det finns en kostnad som är kopplad till att använda Azure Monitor och aviseringsregler. Kostnaden baseras på hur ofta frågan körs och de meddelanden som valts. Mer information finns i Prissättning för Azure Monitor.

Skapa en varningsregel

Om du vill få ett meddelande om privilegierade rolltilldelningar skapar du en aviseringsregel i Azure Monitor.

  1. Logga in på Azure-portalen.

  2. Gå till Övervaka.

  3. I det vänstra navigeringsfältet klickar du på Aviseringar.

  4. Klicka på Skapa>aviseringsregel. Sidan Skapa en aviseringsregel öppnas.

  5. På fliken Omfång väljer du din prenumeration.

  6. På fliken Villkor väljer du signalnamnet för anpassad loggsökning .

  7. I rutan Loggfråga lägger du till följande Kusto-fråga som ska köras i prenumerationens logg och utlösa aviseringen.

    Den här frågan filtrerar för försök att tilldela rollerna Deltagare, Ägare eller Administratör för användaråtkomst i omfånget för den valda prenumerationen.

    AzureActivity
| where CategoryValue =~ "Administrative" and
    OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
    (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
| extend Properties_d = todynamic(Properties)
| extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
| extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
| extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
| where Scope !contains "resourcegroups"
| extend RoleId = split(RoleDefinition,'/')[-1]
| extend RoleDisplayName = case(
    RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
    RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
    RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
    "Irrelevant")
| where RoleDisplayName != "Irrelevant"
| project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName

    Screenshot of Create an alert rule condition tab in Azure Monitor.

  8. I avsnittet Mått anger du följande värden:

    • Mått: Tabellrader
    • Sammansättningstyp: Antal
    • Sammansättningskornighet: 5 minuter

    För sammansättningskornighet kan du ändra standardvärdet till en frekvens som du vill ha.

  9. I avsnittet Dela efter dimensioner anger du Resurs-ID tillDela inte.

  10. I avsnittet Aviseringslogik anger du följande värden:

    • Operator: Större än
    • Tröskelvärde: 0
    • Utvärderingsfrekvens: 5 minuter

    För Utvärderingsfrekvens kan du ändra standardvärdet till en frekvens som du önskar.

  11. På fliken Åtgärder skapar du en åtgärdsgrupp eller väljer en befintlig åtgärdsgrupp.

    En åtgärdsgrupp definierar de åtgärder och meddelanden som körs när aviseringen utlöses.

    När du skapar en åtgärdsgrupp måste du ange den resursgrupp som åtgärdsgruppen ska placeras i. Välj sedan aviseringarna (e-post/SMS-meddelande/push-/röståtgärd) som ska anropas när aviseringsregeln utlöses. Du kan hoppa över flikarna Åtgärder och tagg . Mer information finns i Skapa och hantera åtgärdsgrupper i Azure-portalen.

  12. På fliken Information väljer du resursgruppen för att spara aviseringsregeln.

  13. I avsnittet Information om aviseringsregel väljer du allvarlighetsgradoch anger ett namn på aviseringsregeln.

  14. För Region kan du välja valfri region eftersom Azure-aktivitetsloggar är globala.

  15. Hoppa över fliken Taggar.

  16. På fliken Granska + skapa klickar du på Skapa för att skapa din aviseringsregel.

Testa aviseringsregeln

När du har skapat en aviseringsregel kan du testa att den utlöses.

  1. Tilldela rollen Deltagare, Ägare eller Administratör för användaråtkomst i prenumerationsomfånget. Mer information finns i Tilldela Azure-roller med hjälp av Microsoft Azure-portalen.

  2. Vänta några minuter för att få aviseringen baserat på sammansättningskornigheten och frekvensen för utvärdering av loggfrågan.

  3. På sidan Aviseringar övervakar du aviseringar som du angav i åtgärdsgruppen.

    Screenshot of the Alerts page showing that role assignment alert fired.

    Följande bild visar ett exempel på e-postaviseringen.

    Screenshot of an email alert for a role assignment.

Ta bort aviseringsregeln

Följ de här stegen för att ta bort aviseringsregeln för rolltilldelning och stoppa ytterligare kostnader.

  1. I Övervaka navigerar du till Aviseringar.

  2. Klicka på Aviseringsregler i fältet.

  3. Lägg till en bock bredvid aviseringsregeln som du vill ta bort.

  4. Klicka på Ta bort för att ta bort aviseringen.

Nästa steg