Puncte:0

Alertă când administratorul se conectează la Azure

drapel us

Am configurat o închiriere Office365/Azure pentru o mică organizație caritabilă pe care o ajut. Sunt dornic să configurez raportarea automată care trimite un e-mail atunci când cineva se conectează ca cont de administrator (adică cu un anumit rol sau grup).

Principalele lucruri pe care încerc să le realizez sunt

  1. Vizibilitatea când o terță parte sprijină organizația care se conectează pentru a schimba contractul de închiriere
  2. Vizibilitatea când se conectează un membru al personalului intern, inclusiv personalul care a trecut mai departe și credem că conturile lor sunt dezactivate
  3. Vizibilitatea conturilor necunoscute care se conectează (adică un cont de administrator nou creat de un actor nefast)

Tot ce am reușit să găsesc este cum să alertez asupra unui anumit utilizator, ceea ce poate ajuta cu primele 2 cerințe (deși înseamnă configurarea unei alerte per cont), totuși nu acoperă a treia cerință.

Este posibil să configurați o alertă în Azure pentru a trimite un e-mail la o adresă nominalizată atunci când se conectează orice cont cu rol de Administrator global?

djdomi avatar
drapel za
poate scriptul meu poate ajuta la un moment dat https://github.com/djdomi/Powershell-Scripts/blob/main/powershell_announce_failed_logins.ps1
Dels avatar
drapel us
Mulțumesc @djdomi, cred că scriptul tău rulează pe controlerul de domeniu pentru a colecta acele informații din jurnalele de evenimente. * Rețineți că probabil am omis punctul cheie că nu caut autentificare la mașini, doar pentru autentificare la platformele Office365 / Azure. Ca atare, caut platforma pentru a crea o alertă dintr-un jurnal al platformei. adică numeroasele servicii Microsoft care acoperă SEIM, monitorizare, servicii de securitate etc., așa că sper foarte mult ca cazul meu de utilizare a raportării cu ușurință a autentificărilor de la administrator, să fie disponibile imediat, dar nu le găsesc. De aici întrebarea mea pentru comunitatea pentru expertiza Azure.
Puncte:0
drapel ng

Jurnalele de conectare Azure AD conțin informațiile de care aveți nevoie pentru a detecta când cineva se conectează. Puteți exporta aceste jurnale într-un spațiu de lucru Log Analytics și apoi configurați o alertă pentru când cineva se conectează cu un rol de administrator global.

Acest articol are câteva detalii pas cu pas despre cum se poate face.

Dels avatar
drapel us
Vă mulțumim pentru răspunsul dumneavoastră. Acest link arată cum să monitorizezi un anumit cont. adică „Vreau să știu când se conectează utilizatorul X sau Y”. Ceea ce caut este „Vreau să știu când se conectează un utilizator, căruia nu cunosc numele de utilizator, dar are rol ABC”. * Încerc să mă protejez împotriva creării de conturi necunoscute și a rolurilor de administrator de către un actor rău. * Alternativ, pot configura un script powershell pentru a descărca conturi, abonamente și e-mail, dar acest lucru pare foarte vechi și am sperat că Azure vă poate ajuta. Orice idee despre a putea face acest lucru din Azure ar fi cel mai apreciată :)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.