Waarschuwing over bevoorrechte Azure-roltoewijzingen
Bevoorrechte Azure-rollen, zoals Inzender, Eigenaar of Beheerder voor gebruikerstoegang, zijn krachtige rollen en kunnen risico's in uw systeem veroorzaken. Mogelijk wilt u een melding ontvangen via e-mail of sms wanneer deze of andere rollen zijn toegewezen. In dit artikel wordt beschreven hoe u een melding ontvangt over bevoorrechte roltoewijzingen binnen een abonnementsbereik door een waarschuwingsregel te maken met behulp van Azure Monitor.
Vereisten
Als u een waarschuwingsregel wilt maken, moet u het volgende hebben:
- Toegang tot een Azure-abonnement
- Machtiging voor het maken van resourcegroepen en resources binnen het abonnement
- Log Analytics geconfigureerd zodat deze toegang heeft tot de AzureActivity-tabel
Kosten schatten voordat u Azure Monitor gebruikt
Er zijn kosten verbonden aan het gebruik van Azure Monitor en waarschuwingsregels. De kosten zijn gebaseerd op de frequentie waarop de query wordt uitgevoerd en de geselecteerde meldingen. Zie prijzen voor Azure Monitor voor meer informatie.
Een waarschuwingsregel maken
Als u een melding wilt ontvangen over bevoorrechte roltoewijzingen, maakt u een waarschuwingsregel in Azure Monitor.
Meld u aan bij het Azure-portaal.
Navigeer naar Monitor.
Klik in het linkernavigatievenster op Waarschuwingen.
Klik op Waarschuwingsregel maken>. De pagina Waarschuwingsregel maken wordt geopend.
Selecteer uw abonnement op het tabblad Bereik .
Selecteer op het tabblad Voorwaarde de naam van het aangepaste zoeksignaal voor logboeken.
Voeg in het vak Logboekquery de volgende Kusto-query toe die wordt uitgevoerd in het logboek van het abonnement en activeer de waarschuwing.
Deze query filtert op pogingen om de rollen Inzender, Eigenaar of Beheerder van gebruikerstoegang toe te wijzen op het bereik van het geselecteerde abonnement.
AzureActivity | where CategoryValue =~ "Administrative" and OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started") | extend Properties_d = todynamic(Properties) | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string)) | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string)) | where Scope !contains "resourcegroups" | extend RoleId = split(RoleDefinition,'/')[-1] | extend RoleDisplayName = case( RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor", RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner", RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator", "Irrelevant") | where RoleDisplayName != "Irrelevant" | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
Stel in de sectie Meting de volgende waarden in:
- Meting: Tabelrijen
- Aggregatietype: Aantal
- Aggregatiegranulariteit: 5 minuten
Voor aggregatiegranulariteit kunt u de standaardwaarde wijzigen in een gewenste frequentie.
Stel in de sectie Splitsen op dimensies de kolom Resource-id in op Niet splitsen.
Stel in de sectie Waarschuwingslogica de volgende waarden in:
- Operator: Groter dan
- Drempelwaarde: 0
- Frequentie van evaluatie: 5 minuten
Voor frequentie van evaluatie kunt u de standaardwaarde wijzigen in een gewenste frequentie.
Maak op het tabblad Acties een actiegroep of selecteer een bestaande actiegroep.
Een actiegroep definieert de acties en meldingen die worden uitgevoerd wanneer de waarschuwing wordt geactiveerd.
Wanneer u een actiegroep maakt, moet u de resourcegroep opgeven waarin de actiegroep moet worden geplaatst. Selecteer vervolgens de meldingen (e-mail/sms-bericht/push-/spraakactie) om aan te roepen wanneer de waarschuwingsregel wordt geactiveerd. U kunt de tabbladen Acties en Tags overslaan. Zie Actiegroepen maken en beheren in Azure Portal voor meer informatie.
Selecteer op het tabblad Details de resourcegroep om de waarschuwingsregel op te slaan.
Selecteer in de sectie Details van waarschuwingsregel een ernst en geef een naam op voor de waarschuwingsregel.
Voor Regio kunt u elke regio selecteren omdat azure-activiteitenlogboeken globaal zijn.
Sla het tabblad Tags over.
Klik op het tabblad Controleren en maken op Maken om de waarschuwingsregel te maken.
De waarschuwingsregel testen
Nadat u een waarschuwingsregel hebt gemaakt, kunt u testen of deze wordt geactiveerd.
Wijs de rol Inzender, Eigenaar of Beheerder van gebruikerstoegang toe aan het abonnementsbereik. Zie voor meer informatie Azure-rollen toewijzen met behulp van de Azure-portal.
Wacht enkele minuten om de waarschuwing te ontvangen op basis van de aggregatiegranulariteit en de frequentie van de evaluatie van de logboekquery.
Controleer op de pagina Waarschuwingen op waarschuwingen die u hebt opgegeven in de actiegroep.
In de volgende afbeelding ziet u een voorbeeld van de e-mailwaarschuwing.
De waarschuwingsregel verwijderen
Volg deze stappen om de waarschuwingsregel voor roltoewijzing te verwijderen en extra kosten te stoppen.
Navigeer in Monitor naar Waarschuwingen.
Klik in de balk op Waarschuwingsregels.
Voeg een vinkje toe naast de waarschuwingsregel die u wilt verwijderen.
Klik op Verwijderen om de waarschuwing te verwijderen.