Alertas personalizados do Microsoft Entra ID Governance
O Microsoft Entra ID Governance facilita alertar as pessoas em sua organização quando elas precisam tomar medidas (por exemplo: aprovar uma solicitação de acesso a um recurso) ou quando um processo empresarial não está funcionando corretamente (por exemplo: novas contratações não estão sendo provisionadas).
A tabela a seguir descreve algumas das notificações padrão que o Microsoft Entra ID Governance fornece, a persona de destino em uma organização, onde ela esperaria ser alertada e com que rapidez seria alertada.
Exemplo de notificações padrão existentes
| Persona | Método de alerta | Pontualidade | Exemplo de alerta |
|---|---|---|---|
| Usuário final | Teams | Minutos | Você precisa aprovar ou negar essa solicitação de acesso; O acesso que você solicitou foi aprovado, use o novo aplicativo. Saiba mais |
| Usuário final | Teams | Days (dias) | O acesso que você solicitou vai expirar na próxima semana, renove-o.Saiba Mais |
| Usuário final | Days (dias) | Boas-vindas ao Woodgrove, aqui está a sua senha de acesso temporária. Saiba mais. | |
| Suporte técnico | ServiceNow | Minutos | Um usuário precisa ser provisionado manualmente em um aplicativo herdado. Saiba mais |
| Operações de TI | Horas | Os funcionários recém-contratados não estão sendo importados do Workday. Saiba mais |
Notificações de alerta personalizadas
Além das notificações padrão fornecidas pelo Microsoft Entra ID Governance, as organizações podem criar alertas personalizados para atender às suas necessidades.
Todas as atividades executadas pelos serviços do Microsoft Entra ID Governance são registradas nos Logs de Auditoria do Microsoft Entra. Ao transmitir os logs para um workspace do Log Analytics, as organizações podem criar alertas personalizados.
A seção a seguir fornece exemplos de alertas personalizados que clientes podem criar integrando o Microsoft Entra ID Governance com o Azure Monitor. Usando o Azure Monitor, as organizações podem personalizar quais alertas são gerados, quem recebe os alertas e como recebem o alerta (email, SMS, tíquete de suporte técnico etc.).
| Recurso | Exemplo de alerta |
|---|---|
| Revisões de acesso | Alertar um administrador de TI quando uma revisão de acesso for excluída. |
| Gerenciamento de direitos | Alertar um administrador de TI quando um usuário for adicionado diretamente a um grupo, sem usar um pacote de acesso. |
| Gerenciamento de direitos | Alertar um administrador de TI quando uma nova organização conectada for adicionada. |
| Gerenciamento de direitos | Alertar um administrador de TI quando uma extensão personalizada falhar. |
| Gerenciamento de direitos | Alertar um administrador de TI quando uma política de atribuição de pacote de acesso de gerenciamento de direitos for criada ou atualizada sem exigir aprovação. |
| Fluxos de trabalho do ciclo de vida | Alertar um administrador de TI quando um fluxo de trabalho específico falhar. |
| Colaboração multilocatário | Alertar um administrador de TI quando a sincronização entre locatários estiver habilitada |
| Colaboração multilocatário | Alertar um administrador de TI quando uma política de acesso entre locatários estiver habilitada |
| Privileged Identity Management | Alertar um administrador de TI quando os alertas PIM estiverem desabilitados. |
| Privileged Identity Management | Alertar um administrador de TI quando uma função for concedida fora do PIM. |
| Provisionamento | Alertar um administrador de TI quando houver um pico nas falhas de provisionamento no último dia. |
| Provisionamento | Alertar um administrador de TI quando alguém iniciar, parar, desabilitar, reiniciar ou excluir uma configuração de provisionamento. |
| Provisionamento | Alertar um administrador de TI quando um trabalho de provisionamento entrar em quarentena. |
Revisões de acesso
Alertar um administrador de TI quando uma revisão de acesso for excluída.
Consulta
AuditLogs
| where ActivityDisplayName == "Delete access review"
Gerenciamento de direitos
Alertar um administrador de TI quando um usuário for adicionado diretamente a um grupo, sem usar um pacote de acesso.
Consulta
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Alerte um administrador de TI quando uma nova organização conectada for criada. Usuários dessa organização agora podem solicitar acesso aos recursos disponíveis para todas as organizações conectadas.
Consulta
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Alertar um administrador de TI quando uma extensão personalizada de gerenciamento de direitos falhar.
Consulta
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Alertar um administrador de TI quando uma política de atribuição de pacote de acesso de gerenciamento de direitos for criada ou atualizada sem exigir aprovação.
Consulta
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Fluxos de trabalho do ciclo de vida
Alertar um administrador de TI quando um fluxo de trabalho específico do ciclo de vida falhar.
Consulta
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Lógica de alerta
- Baseado em: Número de resultados
- Operação: igual a
- Limite: 0
Colaboração multilocatário
Alertar um administrador de TI quando uma nova política de acesso entre locatários for criada. Isso permite que sua organização detecte quando um relacionamento foi formado com uma nova organização.
Consulta
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Como administrador, posso receber um alerta quando uma política de sincronização entre locatários de entrada for definida como verdadeira. Isso permite que sua organização detecte quando uma organização está autorizada a sincronizar identidades em seu locatário.
Consulta
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Lógica de alerta
Privileged Identity Management
Alertar um administrador de TI quando alertas de segurança PIM específicos estiverem desabilitados.
Consulta
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Alertar um administrador de TI quando um usuário for adicionado a uma função fora do PIM
A consulta abaixo é baseada em um templateId. Você pode encontrar uma lista de IDs de modelo aqui.
Consulta
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Provisionamento
Alertar um administrador de TI quando houver um pico nas falhas de provisionamento no último dia. Ao configurar o alerta no Log Analytics, defina a granularidade da agregação como 1 dia.
Consulta
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Lógica de alerta
- Baseado em: Número de resultados
- Operador: Maior que
- Valor limite: 10
Alertar um administrador de TI quando alguém iniciar, parar, desabilitar, reiniciar ou excluir uma configuração de provisionamento.
Consulta
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Alertar um administrador de TI quando um trabalho de provisionamento entrar em quarentena
Consulta
AuditLogs
| where ActivityDisplayName == "Quarantine"
Próximas Etapas