Рейтинг:0

Оповещение, когда администратор входит в Azure

флаг us

Я настроил аренду Office365/Azure для небольшой благотворительной организации, которой помогаю. Я хочу настроить автоматическую отчетность, которая отправляет электронное письмо, когда кто-то входит в систему в качестве учетной записи администратора (т.е. с определенной ролью или группой).

Главное, чего я пытаюсь достичь, это

  1. Видимость того, когда сторонняя организация поддержки входит в систему, чтобы изменить аренду
  2. Видимость того, когда внутренний сотрудник входит в систему, включая сотрудников, которые ушли, и мы считаем, что их учетные записи отключены
  3. Видимость входа в систему с неизвестных учетных записей (например, недавно созданная учетная запись администратора злоумышленником)

Все, что мне удалось найти, это как предупредить конкретного пользователя, что может помочь с первыми двумя требованиями (хотя это означает настройку оповещения для каждой учетной записи), однако это не покрывает 3-е требование.

Можно ли настроить оповещение в Azure для отправки электронного письма на назначенный адрес при входе любой учетной записи с ролью глобального администратора?

djdomi avatar
флаг za
возможно, мой скрипт может помочь в одном месте https://github.com/djdomi/Powershell-Scripts/blob/main/powershell_announce_failed_logins.ps1
Dels avatar
флаг us
Спасибо @djdomi, я думаю, ваш скрипт работает на контроллере домена для сбора этой информации из журналов событий. * Обратите внимание, что я, вероятно, упустил ключевой момент, что я не ищу логины для компьютеров, а только логины для платформ Office365/Azure. Таким образом, я ищу платформу для создания оповещения из журнала платформы. т. е. многочисленные службы Microsoft, охватывающие SEIM, службы мониторинга, службы безопасности и т. д., поэтому я очень надеюсь, что мой вариант использования простой отчетности о входах в систему администратора должен быть доступен из коробки, но я не могу его найти. Отсюда мой вопрос сообщество для получения опыта в Azure.
Рейтинг:0
флаг ng

Журналы входа в Azure AD содержат информацию, необходимую для обнаружения того, когда кто-то входит в систему. Вы можете экспортировать эти журналы в рабочую область Log Analytics, а затем настроить оповещение, когда кто-то входит в систему с ролью глобального администратора.

эта статья есть некоторые пошаговые подробности о том, как это можно сделать.

Dels avatar
флаг us
Спасибо за ваш ответ. Эта ссылка показывает, как отслеживать конкретную учетную запись. то есть «Я хочу знать, когда пользователь X или Y входит в систему». То, что я ищу, это «Я хочу знать, когда пользователь, которому я не знаю имени пользователя, но имею роль ABC, входит в систему». * Я пытаюсь защититься от создания неизвестных учетных записей и присвоения им ролей администратора злоумышленником. * В качестве альтернативы я могу настроить сценарий powershell для загрузки учетных записей, членства и электронной почты, но это кажется очень старой школой, и я надеялся, что Azure может помочь. Любые идеи о том, как сделать это из Azure, будут высоко оценены :)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.