Microsoft Azure – 为条件访问策略更改创建警报
在本文中,我们将研究为条件访问策略更改创建警报的过程。条件访问将信号汇集在一起,以做出决策并执行组织策略。
此警报检测到:
- 创建新的条件访问策略,
- 删除条件访问策略,
- 更改任何当前的条件访问策略。
先决条件:
- 日志分析工作区
- 订阅或资源组的贡献者访问以创建警报。
执行:
按照以下步骤启用更改条件策略更改:
步骤 1:登录 Azure 门户
第 2 步:导航到选择Log Analytics 工作区>> 从左侧菜单中选择日志>>复制下面的搜索查询并添加查询(复制下面的搜索查询) >> 单击运行(参考输出屏幕截图)
搜索查询:
AuditLogs
| where Category == "Policy" and LoggedByService == "Conditional Access"
| project ActivityDateTime, InitiatedBy.user.userPrincipalName, TargetResources[0].displayName, ActivityDisplayName
输出:
第 3 步:运行查询后,从右上角单击 +新警报规则。然后,单击条件名称并设置所需的。
- 警报逻辑:结果数
- 运算符:大于
- 阈值: 0
- 周期(分钟): 15
- 频率(分钟): 15
现在点击“确定”
第 4 步:添加操作组并配置通知 >> 点击添加操作组并填写以下详细信息。
行动组:
- 订阅:提供选择订阅
- 资源组:提供选择资源组
- 操作组名称:选择请求的操作组(例如:security-notification)
- 显示名称: conditAccess
通知:
- 通知类型:电子邮件/短信/推送/语音
- 名称:电子邮件操作
- 选择:电子邮件>> security@domain.com
填写所需的更改后,单击保存更改。
自定义操作:电子邮件主题 >> 添加主题行>> “检测到条件访问更改 - 警报”
警报规则详细信息:
- 警报规则名称:检测到条件访问更改
描述:
此警报检测到:
- 创建新的条件访问策略
- 删除条件访问策略
- 对任何当前条件访问策略的更改
- 资源组:选择与范围资源组相同
- 严重性: 2 警告
- 自动解决警报:false
- 抑制警报:假
第 5 步:单击查看和创建。触发警报后,将通知已配置的电子邮件用户有关警报的详细信息。
就是这样,你完成了。至此,只要有任何条件性政策更改,我们就成功启用了电子邮件警报。