Alertas personalizadas de Gobierno de Microsoft Entra ID

Artículo
09/26/2024

Gobierno de Microsoft Entra ID facilita la alerta a las personas de tu organización cuando necesiten tomar medidas (como aprobar una solicitud de acceso a un recurso) o cuando un proceso empresarial no funciona correctamente (por ejemplo, las nuevas contrataciones no se aprovisionan).

En la tabla siguiente se describen algunas de las notificaciones estándar que Gobierno de Microsoft Entra ID proporciona, el rol de destino de una organización, dónde se espera que se le avise y la rapidez con la que se alertará.

Ejemplo de notificaciones estándar existentes

Rol	Método de alerta	Puntualidad	Alerta de ejemplo
Usuario final	Teams	Minutos	Debes aprobar o denegar esta solicitud de acceso; Se ha aprobado el acceso que solicitaste, puedes usar la nueva aplicación. Más información
Usuario final	Teams	Días	El acceso solicitado expirará la próxima semana, renuévalo.Más información
Usuario final	Correo electrónico	Días	Bienvenido a Woodgrove, este es tu pase de acceso temporal. Más información.
servicio de asistencia.	ServiceNow	Minutos	Un usuario debe aprovisionarse manualmente en una aplicación heredada. Más información
Operaciones de TI	Correo electrónico	Horas	Los empleados recién contratados no se importan desde Workday. Más información

Notificaciones de alertas personalizadas

Además de las notificaciones estándar proporcionadas por Gobierno de Microsoft Entra ID, las organizaciones pueden crear alertas personalizadas para satisfacer sus necesidades.

Toda la actividad realizada por los servicios Gobierno de Microsoft Entra ID se registra en los registros de auditoría de Microsoft Entra. Al insertar los registros en un área de trabajo de Log Analytics, las organizaciones pueden crear alertas personalizadas.

En la sección siguiente se proporcionan ejemplos de alertas personalizadas que los clientes pueden crear mediante la integración de Gobierno de Microsoft Entra ID con Azure Monitor. Mediante Azure Monitor, las organizaciones pueden personalizar qué alertas se generan, quién las recibe y cómo se reciben (correo electrónico, SMS, vale del departamento de soporte técnico, etc.).

Característica	Alerta de ejemplo
Revisiones de acceso	Alertar a un administrador de TI cuando se elimina una revisión de acceso.
Administración de derechos	Alertar a un administrador de TI cuando un usuario se agrega directamente a un grupo, sin usar un paquete de acceso.
Administración de derechos	Alertar a un administrador de TI cuando se agrega una nueva organización conectada.
Administración de derechos	Alertar a un administrador de TI cuando se produce un error en una extensión personalizada.
Administración de derechos	Alerta a un administrador de TI cuando se crea o actualiza una directiva de asignación de paquetes de acceso de administración de derechos sin necesidad de aprobación.
Flujos de trabajo de ciclo de vida	Alerta a un administrador de TI cuando se produce un error en un flujo de trabajo específico.
Colaboración multiinquilino	Alertar a un administrador de TI cuando está habilitada la sincronización entre inquilinos
Colaboración multiinquilino	Alertar a un administrador de TI cuando se habilita una directiva de acceso entre inquilinos
Privileged Identity Management	Alertar a un administrador de TI cuando se deshabilitan las alertas de PIM.
Privileged Identity Management	Alertar a un administrador de TI cuando se concede un rol fuera de PIM.
Aprovisionamiento	Alertar a un administrador de TI cuando hay un pico en los errores de aprovisionamiento durante un período de 24 horas.
Aprovisionamiento	Alertar a un administrador de TI cuando alguien inicie, detenga, deshabilite, reinicie o elimine una configuración de aprovisionamiento.
Aprovisionamiento	Alertar a un administrador de TI cuando un trabajo de aprovisionamiento entra en cuarentena.

Revisiones de acceso

Alerta a un administrador de TI cuando se haya eliminado una revisión de acceso.

Consulta

AuditLogs
| where ActivityDisplayName == "Delete access review"

Administración de derechos

Alerta a un administrador de TI cuando un usuario se agregue directamente a un grupo, sin usar un paquete de acceso.

Consulta

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Alertar a un administrador de TI cuando se crea una nueva organización conectada. Los usuarios de esta organización ahora pueden solicitar acceso a los recursos que están disponibles para todas las organizaciones conectadas.

Consulta

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Alerta a un administrador de TI cuando se produce un error en una extensión personalizada de administración de derechos.

Consulta

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')

Alerta a un administrador de TI cuando se crea o actualiza una directiva de asignación de paquetes de acceso de administración de derechos sin necesidad de aprobación.

Consulta

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Flujos de trabajo de ciclo de vida

Alerta a un administrador de TI cuando se produce un error en un flujo de trabajo de ciclo de vida específico.

Consulta

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Lógica de alerta

Basado en: Número de resultados
Operador: Equal to
Umbral: 0

Colaboración multiinquilino

Alertar a un administrador de TI cuando se crea una nueva directiva de acceso entre inquilinos. Esto permite a tu organización detectar cuándo se ha formado una relación con una nueva organización.

Consulta

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Como administrador, puedo obtener una alerta cuando una directiva de sincronización entre inquilinos entrante está establecida en true. Esto permite a tu organización detectar cuándo una organización está autorizada para sincronizar identidades en el inquilino.

Consulta

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Lógica de alerta

Privileged Identity Management

Alerta a un administrador de TI cuando se deshabiliten alertas de seguridad de PIM específicas.

Consulta

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Alertas a un administrador de TI cuando se agrega un usuario a un rol fuera de PIM

La consulta siguiente se basa en un templateId. Puedes encontrar una lista de Id. de plantilla aquí.

Consulta

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

Aprovisionamiento

Alertar a un administrador de TI cuando hay un pico en los errores de aprovisionamiento durante el último día. Al configurar la alerta en Log Analytics, establezca la granularidad de agregación en 1 día.

Consulta

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Lógica de alerta

Basado en: Número de resultados
Operador: Greater than
Valor del umbral: 10

Alertar a un administrador de TI cuando alguien inicie, detenga, deshabilite, reinicie o elimine una configuración de aprovisionamiento.

Consulta

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Alerta a un administrador de TI cuando un trabajo de aprovisionamiento entra en cuarentena

Consulta

AuditLogs
| where ActivityDisplayName == "Quarantine"

Pasos siguientes

Compartir a través de

Alertas personalizadas de Gobierno de Microsoft Entra ID

Notificaciones de alertas personalizadas

Revisiones de acceso

Alerta a un administrador de TI cuando se haya eliminado una revisión de acceso.

Administración de derechos

Alerta a un administrador de TI cuando un usuario se agregue directamente a un grupo, sin usar un paquete de acceso.

Alertar a un administrador de TI cuando se crea una nueva organización conectada. Los usuarios de esta organización ahora pueden solicitar acceso a los recursos que están disponibles para todas las organizaciones conectadas.

Alerta a un administrador de TI cuando se produce un error en una extensión personalizada de administración de derechos.

Alerta a un administrador de TI cuando se crea o actualiza una directiva de asignación de paquetes de acceso de administración de derechos sin necesidad de aprobación.

Flujos de trabajo de ciclo de vida

Alerta a un administrador de TI cuando se produce un error en un flujo de trabajo de ciclo de vida específico.

Colaboración multiinquilino

Alertar a un administrador de TI cuando se crea una nueva directiva de acceso entre inquilinos. Esto permite a tu organización detectar cuándo se ha formado una relación con una nueva organización.

Como administrador, puedo obtener una alerta cuando una directiva de sincronización entre inquilinos entrante está establecida en true. Esto permite a tu organización detectar cuándo una organización está autorizada para sincronizar identidades en el inquilino.

Privileged Identity Management

Alerta a un administrador de TI cuando se deshabiliten alertas de seguridad de PIM específicas.

Alertas a un administrador de TI cuando se agrega un usuario a un rol fuera de PIM

Aprovisionamiento

Alertar a un administrador de TI cuando alguien inicie, detenga, deshabilite, reinicie o elimine una configuración de aprovisionamiento.

Alerta a un administrador de TI cuando un trabajo de aprovisionamiento entra en cuarentena

Comentarios

Recursos adicionales