Alertas personalizados do Microsoft Entra ID Governance
O Microsoft Entra ID Governance facilita o alerta das pessoas em sua organização quando elas precisam tomar medidas (por exemplo, aprovar uma solicitação de acesso a um recurso) ou quando um processo de negócios não está funcionando corretamente (por exemplo, novas contratações não estão sendo provisionadas).
A tabela a seguir descreve algumas das notificações padrão que o Microsoft Entra ID Governance fornece, a persona de destino em uma organização, como eles são alertados e quando são alertados.
Amostra de notificações-tipo existentes
| Persona | Método de alerta | Pontualidade | Alerta de exemplo |
|---|---|---|---|
| Utilizador final | Teams | Minutos | Você precisa aprovar ou negar este pedido de acesso; O acesso que você solicitou foi aprovado, vá usar seu novo aplicativo. Mais informações |
| Utilizador final | Teams | Dias | O acesso que solicitou vai expirar na próxima semana, por favor renove.Saiba mais |
| Utilizador final | Dias | Bem-vindo ao Woodgrove, aqui está o seu passe de acesso temporário. Mais informações. | |
| Serviço de assistência | ServiceNow | Minutos | Um usuário precisa ser provisionado manualmente em um aplicativo herdado. Mais informações |
| Operações de TI | Horas | Os funcionários recém-contratados não estão sendo importados do Workday. Mais informações |
Notificações de alerta personalizadas
Além das notificações padrão fornecidas pelo Microsoft Entra ID Governance, as organizações podem criar alertas personalizados para atender às suas necessidades.
Todas as atividades realizadas pelos serviços de Governança de ID do Microsoft Entra são registradas nos Logs de Auditoria do Microsoft Entra. Ao enviar os logs para um espaço de trabalho do Azure Monitor do Log Analytics, as organizações podem criar alertas personalizados.
A seção a seguir fornece exemplos de alertas personalizados que os clientes podem criar integrando a Governança de ID do Microsoft Entra com o Azure Monitor. Usando o Azure Monitor, as organizações podem personalizar quais alertas são gerados, quem recebe os alertas e como eles recebem o alerta (email, SMS, tíquete de suporte técnico, etc.).
| Caraterística | Alerta de exemplo |
|---|---|
| Revisões de Acesso | Alerte um administrador de TI quando uma revisão de acesso for excluída. |
| Gestão de direitos | Alerte um administrador de TI quando um usuário é adicionado diretamente a um grupo, sem usar um pacote de acesso. |
| Gestão de direitos | Alerte um administrador de TI quando uma nova organização conectada for adicionada. |
| Gestão de direitos | Alerte um administrador de TI quando uma extensão personalizada falhar. |
| Gestão de direitos | Alerte um administrador de TI quando uma política de atribuição de pacotes de acesso de gerenciamento de direitos for criada ou atualizada sem exigir aprovação. |
| Fluxos de trabalho do ciclo de vida | Alerte um administrador de TI quando um fluxo de trabalho específico falhar. |
| Colaboração multilocatária | Alertar um administrador de TI quando a sincronização entre locatários estiver habilitada |
| Colaboração multilocatária | Alertar um administrador de TI quando uma política de acesso entre locatários estiver habilitada |
| Privileged Identity Management | Alerte um administrador de TI quando os alertas PIM estiverem desativados. |
| Privileged Identity Management | Alerte um administrador de TI quando uma função for concedida fora do PIM. |
| Aprovisionamento | Alerte um administrador de TI quando houver um pico de falhas de provisionamento no dia anterior. |
| Aprovisionamento | Alerte um administrador de TI quando alguém iniciar, parar, desativar, reiniciar ou excluir uma configuração de provisionamento. |
| Aprovisionamento | Alerte um administrador de TI quando um trabalho de provisionamento entrar em quarentena. |
Revisões de acesso
Alerte um administrador de TI quando uma revisão de acesso for excluída.
Consulta
AuditLogs
| where ActivityDisplayName == "Delete access review"
Gestão de direitos
Alerte um administrador de TI quando um usuário é adicionado diretamente a um grupo, sem usar um pacote de acesso.
Consulta
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Alerte um administrador de TI quando uma nova organização conectada for criada. Os usuários dessa organização agora podem solicitar acesso aos recursos disponibilizados para todas as organizações conectadas.
Consulta
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Alerte um administrador de TI quando uma extensão personalizada de gerenciamento de direitos falhar.
Consulta
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Alerte um administrador de TI quando uma política de atribuição de pacotes de acesso de gerenciamento de direitos for criada ou atualizada sem exigir aprovação.
Consulta
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Fluxos de trabalho do ciclo de vida
Alerte um administrador de TI quando um fluxo de trabalho de ciclo de vida específico falhar.
Consulta
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Lógica de alerta
- Com base em: Número de resultados
- Operador: Igual a
- Limiar: 0
Colaboração multilocatária
Alerte um administrador de TI quando uma nova política de acesso entre locatários for criada. Isso permite que sua organização detete quando um relacionamento foi formado com uma nova organização.
Consulta
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Como administrador, posso receber um alerta quando uma política de sincronização entre locatários de entrada é definida como true. Isso permite que sua organização detete quando uma organização está autorizada a sincronizar identidades em seu locatário.
Consulta
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Lógica de alerta
Privileged Identity Management
Alerte um administrador de TI quando alertas de segurança PIM específicos estiverem desativados.
Consulta
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Alertar um administrador de TI quando um usuário é adicionado a uma função fora do PIM
A consulta abaixo é baseada em um templateId. Você pode encontrar uma lista de IDs de modelo aqui.
Consulta
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Aprovisionamento
Alerte um administrador de TI quando houver um pico de falhas de provisionamento no último dia. Ao configurar seu alerta no log analytics, defina a granularidade de agregação como 1 dia.
Consulta
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Lógica de alerta
- Com base em: Número de resultados
- Operador: Maior que
- Valor limite: 10
Alerte um administrador de TI quando alguém iniciar, parar, desativar, reiniciar ou excluir uma configuração de provisionamento.
Consulta
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Alertar um administrador de TI quando um trabalho de provisionamento entrar em quarentena
Consulta
AuditLogs
| where ActivityDisplayName == "Quarantine"
Passos seguintes
- Analisar os logs de atividade do Microsoft Entra com o Azure Monitor Log Analytics
- Introdução às consultas nos logs do Azure Monitor
- Criar e gerenciar grupos de alertas no portal do Azure
- Instalar e usar as exibições de análise de log para o Microsoft Entra ID
- Arquivar logs e relatórios sobre gerenciamento de direitos no Azure Monitor