Avviso per le assegnazioni di ruolo di Azure con privilegi
I ruoli di Azure con privilegi, ad esempio Collaboratore, Proprietario o Amministratore accesso utenti, sono ruoli potenti e possono introdurre rischi nel sistema. È possibile ricevere una notifica tramite email o SMS quando vengono assegnati questi o altri ruoli. Questo articolo descrive come ricevere una notifica delle assegnazioni di ruolo con privilegi in un ambito di sottoscrizione creando una regola di avviso usando Monitoraggio di Azure.
Prerequisiti
Per creare una regola di avviso, è necessario disporre di:
- Accesso a una sottoscrizione di Azure
- Autorizzazione per creare gruppi di risorse e risorse all'interno della sottoscrizione
- Log Analytics configurato in modo che abbia accesso alla tabella AzureActivity
Stimare i costi prima di usare Monitoraggio di Azure
È previsto un costo associato all'uso di Monitoraggio di Azure e delle regole di avviso. Il costo è basato sulla frequenza di esecuzione della query e sulle notifiche selezionate. Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.
Creare una regola di avviso
Per ricevere una notifica delle assegnazioni di ruolo con privilegi, creare una regola di avviso in Monitoraggio di Azure.
Accedere al portale di Azure.
Andare a Monitoraggio.
Nel riquadro di spostamento sinistro fare clic su Avvisi.
Fare clic su Creare>Regola di avviso. È visualizzata la pagina Creare una regola di avviso.
Nella scheda Ambito selezionare la sottoscrizione.
Nella scheda Condizione selezionare il nome del segnale di Ricerca log personalizzata.
Nella casella Query di log aggiungere la query Kusto seguente che verrà eseguita nel log della sottoscrizione e attivare l'avviso.
Questa query filtra i tentativi di assegnare i ruoli Collaboratore, Proprietario o Amministratore accesso utenti nell'ambito della sottoscrizione selezionata.
AzureActivity | where CategoryValue =~ "Administrative" and OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started") | extend Properties_d = todynamic(Properties) | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string)) | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string)) | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string)) | where Scope !contains "resourcegroups" | extend RoleId = split(RoleDefinition,'/')[-1] | extend RoleDisplayName = case( RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor", RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner", RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator", "Irrelevant") | where RoleDisplayName != "Irrelevant" | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
Nella sezione Misurazione impostare i valori seguenti:
- Misura: righe di tabella
- Tipo di aggregazione: Conteggio
- Granularità aggregazione: 5 minuti
Per Granularità aggregazione, è possibile modificare il valore predefinito impostando una frequenza desiderata.
Nella sezione Divisione per dimensioni impostare Colonna ID risorsa su Non dividere.
Nella sezione Logica di avviso impostare i valori seguenti:
- Operatore: maggiore di
- Valore soglia: 0
- Frequenza della valutazione: 5 minuti
Per Frequenza di valutazione, è possibile modificare il valore predefinito impostando una frequenza desiderata.
Nella scheda Azioni creare un gruppo di azioni o selezionare un gruppo di azioni esistente.
Un gruppo di azioni definisce le azioni e le notifiche eseguite quando viene attivato l'avviso.
Quando si crea un gruppo di azioni, è necessario specificare il gruppo di risorse in cui inserire il gruppo di azioni. Selezionare quindi le notifiche (Email/SMS/Push/Voce) da richiamare quando viene attivata la regola di avviso. È possibile ignorare le schede Azioni e Tag. Per altre informazioni, consultare Come creare e gestire gruppi di azione nel portale di Azure.
Nella scheda Dettagli selezionare il gruppo di risorse per salvare la regola di avviso.
Nella sezione Dettagli regola di avviso selezionare una Gravità e specificare un Nome di regola di avviso.
Per Areaè possibile selezionare qualsiasi area perché i log attività di Azure sono globali.
Ignorare la scheda Tag.
Nella scheda Rivedi + crea fare clic su Crea per creare la regola di avviso.
Testare la regola di avviso
Dopo aver creato una regola di avviso, è possibile verificare che venga attivata.
Assegnare il ruolo Collaboratore, Proprietario o Amministratore accesso utenti nell'ambito della sottoscrizione. Per ulteriori informazioni, vedi Assegnare ruoli di Azure usando il portale di Azure.
Attendere alcuni minuti per ricevere l'avviso in base alla granularità delle aggregazioni e alla frequenza di valutazione della query di log.
Nella pagina Avvisi monitorare l'avviso specificato nel gruppo di azioni.
Nella figura seguente viene illustrato un esempio di avviso per e-mail.
Eliminare la regola di avviso
Seguire questa procedura per eliminare la regola di avviso per l'assegnazione di ruolo e arrestare i costi aggiuntivi.
In Monitoraggio andare ad Avvisi.
Nella barra fare clic su Regole di avviso.
Aggiungere un segno di spunta accanto alla regola di avviso da eliminare.
Fare clic su Elimina per rimuovere l'avviso.