Compartir a través de

Crear una regla analitica en Sentinel para alertar cuando la suscripción de azure se suspenda o se deshabilite

Miguel Alberto Alvarez Jimenez 0 Puntos de reputación
2025-01-23T13:34:45.83+00:00

Necesito crear una regla analítica en Sentinel que me alerte cuando la suscripción de Azure se suspenda o se deshabilite o tenga problemas, he probado con varias consultas pero no me trae ninguna información, por ejemplo:

AzureActivity

| where OperationNameValue == "MICROSOFT.RESOURCES/SUBSCRIPTIONS/WRITE"

| where ActivityStatus == "Started" or ActivityStatus == "Succeeded" or ActivityStatus == "Failed"

| project TimeGenerated, SubscriptionId, OperationName, ActivityStatus, Caller, ResourceGroup, Resource

| sort by TimeGenerated desc

la consulta con OperationNameValue no me muestra ningun dato relacionada con MICROSOFT.RESOURCES/SUBSCRIPTIONS,

Cómo puedo lograr conseguir esta información desde una consulta KQL para generar la regla?

Azure
Azure
Plataforma e infraestructura de informática en la nube para crear, implementar y administrar aplicaciones y servicios a través de una red mundial de centros de datos administrados por Microsoft.
523 preguntas
Microsoft Sentinel
Microsoft Sentinel
Solución escalable y nativa de nube de Administración de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR). Antes se conocía como Azure Sentinel.
5 preguntas
0 comentarios

1 respuesta

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Gao Chen 5,045 Puntos de reputación Proveedor de Microsoft
    2025-01-23T13:48:39.0733333+00:00

    Hola Miguel Alberto Alvarez Jimenez,

    ¡Bienvenido(a) a Microsoft Q&A!

    Para crear una regla analítica en Microsoft Sentinel que te alerte cuando una suscripción de Azure se suspenda, deshabilite o tenga problemas, puedes utilizar la siguiente consulta KQL. Esta consulta se enfoca en eventos específicos que indican problemas con la suscripción:

    AzureActivity
| where OperationNameValue in ("Microsoft.Resources/subscriptions/suspend/action", "Microsoft.Resources/subscriptions/disable/action", "Microsoft.Resources/subscriptions/write")
| where ActivityStatus in ("Started", "Succeeded", "Failed")
| project TimeGenerated, SubscriptionId, OperationName, ActivityStatus, Caller, ResourceGroup, Resource
| sort by TimeGenerated desc

    Esta consulta busca operaciones relacionadas con la suspensión, deshabilitación y escritura de suscripciones, y filtra por el estado de la actividad. Asegúrate de que los eventos de actividad de Azure estén correctamente configurados para ser enviados a Sentinel.

    Si sigues sin obtener resultados, verifica que los registros de actividad de Azure estén habilitados y que los datos se estén enviando correctamente a Sentinel. También puedes revisar la configuración de diagnóstico en el portal de Azure para asegurarte de que se están capturando los eventos necesarios.

    Espero que la información sea útil, quedo a la espera de tu respuesta.

    Atentamente,

    Gao

    Si esta respuesta resolvió tu consulta, por favor haz clic en 'Aceptar respuesta'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.

Su respuesta

Las respuestas se pueden marcar como respuestas aceptadas por el autor de la pregunta, lo que ayuda a los usuarios a conocer la respuesta que resolvió el problema del autor.