Alert dotyczący uprzywilejowanych przypisań ról platformy Azure

Uprzywilejowane role platformy Azure, takie jak Współautor, Właściciel lub Administrator dostępu użytkowników, są zaawansowanymi rolami i mogą powodować ryzyko w systemie. Być może chcesz otrzymywać powiadomienia pocztą e-mail lub wiadomości sms po przypisaniu tych lub innych ról. W tym artykule opisano sposób otrzymywania powiadomień o przypisaniach ról uprzywilejowanych w zakresie subskrypcji przez utworzenie reguły alertu przy użyciu usługi Azure Monitor.

Wymagania wstępne

Aby utworzyć regułę alertu, musisz mieć następujące elementy:

• Dostęp do subskrypcji platformy Azure
• Uprawnienie do tworzenia grup zasobów i zasobów w ramach subskrypcji
• Usługa Log Analytics skonfigurowana tak, aby miał dostęp do tabeli AzureActivity

Szacowanie kosztów przed użyciem usługi Azure Monitor

Istnieje koszt związany z używaniem usługi Azure Monitor i reguł alertów. Koszt zależy od częstotliwości wykonywania zapytania i wybranych powiadomień. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Tworzenie reguły alertu

Aby otrzymywać powiadomienia o przypisaniach ról uprzywilejowanych, należy utworzyć regułę alertu w usłudze Azure Monitor.

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Monitor.

3. W obszarze nawigacji po lewej stronie kliknij pozycję Alerty.

4. Kliknij Utwórz>regułę alertu. Strona Tworzenie reguły alertu zostanie otwarta.

5. Na karcie Zakres wybierz swoją subskrypcję.

6. Na karcie Warunek wybierz nazwę sygnału Wyszukiwanie w dzienniku niestandardowym.

7. W polu Log query dodaj następujące zapytanie Kusto, które zostanie uruchomione w dzienniku subskrypcji i wyzwoli alert.

   To zapytanie filtruje próby przypisania ról Współautor, Właściciel lub Administrator dostępu użytkowników w zakresie wybranej subskrypcji.

   AzureActivity
   | where CategoryValue =~ "Administrative" and
       OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
       (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
   | extend Properties_d = todynamic(Properties)
   | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
   | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
   | where Scope !contains "resourcegroups"
   | extend RoleId = split(RoleDefinition,'/')[-1]
   | extend RoleDisplayName = case(
       RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
       RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
       RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
       "Irrelevant")
   | where RoleDisplayName != "Irrelevant"
   | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
   

   

8. W sekcji Pomiary ustaw następujące wartości:

   • Miara: wiersze tabeli
   • Typ agregacji: Liczba
   • Stopień szczegółowości agregacji: 5 minut

   W obszarze Stopień szczegółowości agregacji można zmienić wartość domyślną na wybraną częstotliwość.

9. W sekcji Podział według wymiarów ustaw kolumnę Identyfikator zasobu na Nie dzielić.

10. W sekcji Logika alertu ustaw następujące wartości:

    • Operator: większe niż
    • Wartość progowa: 0
    • Częstotliwość oceny: 5 minut

    W polu Częstotliwość oceny możesz zmienić wartość domyślną na częstotliwość, której potrzebujesz.

11. Na karcie Akcje utwórz grupę akcji lub wybierz istniejącą grupę akcji.

    Grupa akcji definiuje akcje i powiadomienia, które są wykonywane po wyzwoleniu alertu.

    Podczas tworzenia grupy akcji należy określić grupę zasobów, w której ma zostać umieszczona grupa akcji. Następnie wybierz powiadomienia (wiadomość e-mail/wiadomość SMS/powiadomienie push/akcja głosowa), które mają zostać uruchomione, gdy reguła alertu zostanie wyzwolona. Możesz pominąć karty Akcje i tag . Aby uzyskać więcej informacji, zobacz Tworzenie grup akcji i zarządzanie nimi w witrynie Azure Portal.

12. Na karcie Szczegóły wybierz grupę zasobów, aby zapisać regułę alertu.

13. W sekcji Szczegóły reguły alertu wybierz poziom ważności i określ nazwę reguły alertu.

14. W polu Region możesz wybrać dowolny region, ponieważ dzienniki aktywności platformy Azure są globalne.

15. Pomiń kartę Tagi .

16. Na karcie Przeglądanie i tworzenie kliknij pozycję Utwórz, aby utworzyć regułę alertu.

Testowanie reguły alertu

Po utworzeniu reguły alertu możesz sprawdzić, czy działa.

1. Przypisz rolę Współautora, Właściciela lub Administratora dostępu użytkownika w zakresie subskrypcji. Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.

2. Poczekaj kilka minut na odebranie alertu na podstawie stopnia szczegółowości agregacji i częstotliwości oceny zapytania dziennika.

3. Na stronie Alerty monitoruj alert, który określiłeś w grupie działań.

   

   Na poniższej ilustracji przedstawiono przykład alertu e-mail.

   

Usuwanie reguły alertu

Wykonaj następujące kroki, aby usunąć regułę alertu dotyczącą przypisania roli i zatrzymać dodatkowe koszty.

1. W obszarze Monitorowanie przejdź do pozycji Alerty.

2. Na pasku kliknij pozycję Reguły alertów.

3. Dodaj znacznik wyboru obok reguły alertu, którą chcesz usunąć.

4. Kliknij przycisk Usuń, aby usunąć alert.

Następne kroki

• Tworzenie i wyświetlanie alertów dziennika aktywności oraz zarządzanie nimi za pomocą usługi Azure Monitor
• Przeglądaj dzienniki aktywności dotyczące zmian RBAC w platformie Azure