Avviso per le assegnazioni di ruolo di Azure con privilegi

I ruoli di Azure con privilegi, ad esempio Collaboratore, Proprietario o Accesso utenti Amministrazione istrator, sono ruoli potenti e possono introdurre rischi nel sistema. È possibile ricevere una notifica tramite posta elettronica o SMS quando vengono assegnati questi o altri ruoli. Questo articolo descrive come ricevere una notifica delle assegnazioni di ruolo con privilegi in un ambito di sottoscrizione creando una regola di avviso usando Monitoraggio di Azure.

Prerequisiti

Per creare una regola di avviso, è necessario disporre di:

• Accesso a una sottoscrizione di Azure
• Autorizzazione per creare gruppi di risorse e risorse all'interno della sottoscrizione
• Log Analytics configurato in modo che abbia accesso alla tabella AzureActivity

Stimare i costi prima di usare Monitoraggio di Azure

È previsto un costo associato all'uso di Monitoraggio di Azure e delle regole di avviso. Il costo è basato sulla frequenza di esecuzione della query e sulle notifiche selezionate. Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Creare una regola di avviso

Per ricevere una notifica delle assegnazioni di ruolo con privilegi, creare una regola di avviso in Monitoraggio di Azure.

1. Accedi al portale di Azure.

2. Passare a Monitoraggio.

3. Nel riquadro di spostamento sinistro fare clic su Avvisi.

4. Fare clic su Crea>regola di avviso. Verrà visualizzata la pagina Crea una regola di avviso.

5. Nella scheda Ambito selezionare la sottoscrizione.

6. Nella scheda Condizione selezionare il nome del segnale di ricerca log personalizzato.

7. Nella casella Query di log aggiungere la query Kusto seguente che verrà eseguita nel log della sottoscrizione e attivare l'avviso.

   Questa query filtra i tentativi di assegnare i ruoli Collaboratore, Proprietario o Accesso utenti Amministrazione istrator nell'ambito della sottoscrizione selezionata.

   AzureActivity
   | where CategoryValue =~ "Administrative" and
       OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
       (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
   | extend Properties_d = todynamic(Properties)
   | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
   | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
   | where Scope !contains "resourcegroups"
   | extend RoleId = split(RoleDefinition,'/')[-1]
   | extend RoleDisplayName = case(
       RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
       RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
       RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
       "Irrelevant")
   | where RoleDisplayName != "Irrelevant"
   | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
   

   

8. Nella sezione Misurazione impostare i valori seguenti:

   • Misura: righe di tabella
   • Tipo di aggregazione: Count
   • Granularità aggregazione: 5 minuti

   Per Granularità aggregazione, è possibile modificare il valore predefinito impostando una frequenza desiderata.

9. Nella sezione Divisione per dimensioni impostare Colonna ID risorsa su Non dividere.

10. Nella sezione Logica di avviso impostare i valori seguenti:

    • Operatore: maggiore di
    • Valore soglia: 0
    • Frequenza di valutazione: 5 minuti

    Per Frequenza di valutazione, è possibile modificare il valore predefinito impostando una frequenza desiderata.

11. Nella scheda Azioni creare un gruppo di azioni o selezionare un gruppo di azioni esistente.

    Un gruppo di azioni definisce le azioni e le notifiche eseguite quando viene attivato l'avviso.

    Quando si crea un gruppo di azioni, è necessario specificare il gruppo di risorse in cui inserire il gruppo di azioni. Selezionare quindi le notifiche (messaggio di posta elettronica/SMS/Push/Voce) da richiamare quando viene attivata la regola di avviso. È possibile ignorare le schede Azioni e Tag . Per altre informazioni, consultare Come creare e gestire gruppi di azione nel portale di Azure.

12. Nella scheda Dettagli selezionare il gruppo di risorse per salvare la regola di avviso.

13. Nella sezione Dettagli regola di avviso selezionare una gravità e specificare un nome di regola di avviso.

14. Per Area è possibile selezionare qualsiasi area perché i log attività di Azure sono globali.

15. Ignorare la scheda Tag .

16. Nella scheda Rivedi e crea fare clic su Crea per creare la regola di avviso.

Testare la regola di avviso

Dopo aver creato una regola di avviso, è possibile verificare che venga attivata.

1. Assegnare il ruolo Collaboratore, Proprietario o Accesso utenti Amministrazione istrator nell'ambito della sottoscrizione. Per altre informazioni, vedere Assegnare ruoli di Azure usando il portale di Azure.

2. Attendere alcuni minuti per ricevere l'avviso in base alla granularità delle aggregazioni e alla frequenza di valutazione della query di log.

3. Nella pagina Avvisi monitorare l'avviso specificato nel gruppo di azioni.

   

   L'immagine seguente mostra un esempio dell'avviso di posta elettronica.

   

Eliminare la regola di avviso

Seguire questa procedura per eliminare la regola di avviso per l'assegnazione di ruolo e arrestare i costi aggiuntivi.

1. In Monitoraggio passare ad Avvisi.

2. Nella barra fare clic su Regole di avviso.

3. Aggiungere un segno di spunta accanto alla regola di avviso da eliminare.

4. Fare clic su Elimina per rimuovere l'avviso.

Passaggi successivi

• Creare, visualizzare e gestire gli avvisi del log attività usando Monitoraggio di Azure
• Visualizzare i log attività per le modifiche del controllo degli accessi in base al ruolo di Azure