Microsoft Azure – 为条件访问策略更改创建警报

在本文中，我们将研究为条件访问策略更改创建警报的过程。条件访问将信号汇集在一起，以做出决策并执行组织策略。

此警报检测到：

1. 创建新的条件访问策略，
2. 删除条件访问策略，
3. 更改任何当前的条件访问策略。

先决条件：

• 日志分析工作区
• 订阅或资源组的贡献者访问以创建警报。

执行：

按照以下步骤启用更改条件策略更改：

步骤 1：登录 Azure 门户

第 2 步：导航到选择Log Analytics 工作区>> 从左侧菜单中选择日志>>复制下面的搜索查询并添加查询（复制下面的搜索查询） >> 单击运行（参考输出屏幕截图）

搜索查询：

AuditLogs
| where Category == "Policy" and LoggedByService == "Conditional Access"
| project ActivityDateTime, InitiatedBy.user.userPrincipalName, TargetResources[0].displayName, ActivityDisplayName

输出：

第 3 步：运行查询后，从右上角单击 +新警报规则。然后，单击条件名称并设置所需的。

• 警报逻辑：结果数
• 运算符：大于
• 阈值： 0

• 周期（分钟）： 15
• 频率（分钟）： 15

现在点击“确定”

第 4 步：添加操作组并配置通知 >> 点击添加操作组并填写以下详细信息。

行动组：

• 订阅：提供选择订阅
• 资源组：提供选择资源组
• 操作组名称：选择请求的操作组（例如：security-notification）
• 显示名称： conditAccess

通知：

• 通知类型：电子邮件/短信/推送/语音
• 名称：电子邮件操作
• 选择：电子邮件>> security@domain.com

填写所需的更改后，单击保存更改。

自定义操作：电子邮件主题 >> 添加主题行>> “检测到条件访问更改 - 警报”

警报规则详细信息：

• 警报规则名称：检测到条件访问更改

描述：

此警报检测到：

1. 创建新的条件访问策略
2. 删除条件访问策略
3. 对任何当前条件访问策略的更改

• 资源组：选择与范围资源组相同
• 严重性： 2 警告
• 自动解决警报：false
• 抑制警报：假

第 5 步：单击查看和创建。触发警报后，将通知已配置的电子邮件用户有关警报的详细信息。

就是这样，你完成了。至此，只要有任何条件性政策更改，我们就成功启用了电子邮件警报。