📌  相关文章
📜  Microsoft Azure – 为条件访问策略更改创建警报

📅  最后修改于: 2022-05-13 01:57:42.737000             🧑  作者: Mango

Microsoft Azure – 为条件访问策略更改创建警报

在本文中,我们将研究为条件访问策略更改创建警报的过程。条件访问将信号汇集在一起,以做出决策并执行组织策略。

此警报检测到:

  1. 创建新的条件访问策略,
  2. 删除条件访问策略,
  3. 更改任何当前的条件访问策略。

先决条件:

  • 日志分析工作区
  • 订阅或资源组的贡献者访问以创建警报。

执行:

按照以下步骤启用更改条件策略更改:

步骤 1:登录 Azure 门户

第 2 步:导航到选择Log Analytics 工作区>> 从左侧菜单中选择日志>>复制下面的搜索查询并添加查询(复制下面的搜索查询) >> 单击运行(参考输出屏幕截图)

搜索查询:

AuditLogs
| where Category == "Policy" and LoggedByService == "Conditional Access"
| project ActivityDateTime, InitiatedBy.user.userPrincipalName, TargetResources[0].displayName, ActivityDisplayName

输出:

第 3 步:运行查询后,从右上角单击 +新警报规则。然后,单击条件名称并设置所需的。

  • 警报逻辑:结果数
  • 运算符:大于
  • 阈值: 0

  • 周期(分钟): 15
  • 频率(分钟): 15

现在点击“确定”

第 4 步:添加操作组并配置通知 >> 点击添加操作组并填写以下详细信息。

行动组:

  • 订阅:提供选择订阅
  • 资源组:提供选择资源组
  • 操作组名称:选择请求的操作组(例如:security-notification)
  • 显示名称: conditAccess

通知:

  • 通知类型:电子邮件/短信/推送/语音
  • 名称:电子邮件操作
  • 选择:电子邮件>> security@domain.com

填写所需的更改后,单击保存更改。

自定义操作:电子邮件主题 >> 添加主题行>> “检测到条件访问更改 - 警报”

警报规则详细信息:

  • 警报规则名称:检测到条件访问更改

描述:

此警报检测到:

  1. 创建新的条件访问策略
  2. 删除条件访问策略
  3. 对任何当前条件访问策略的更改
  • 资源组:选择与范围资源组相同
  • 严重性: 2 警告
  • 自动解决警报:false
  • 抑制警报:假

第 5 步:单击查看和创建。触发警报后,将通知已配置的电子邮件用户有关警报的详细信息。

就是这样,你完成了。至此,只要有任何条件性政策更改,我们就成功启用了电子邮件警报。