top of page

⬅️ Zurück zur Blogübersicht

Microsoft Entra ID | 1.6.5 Erstellen einer Alert Regel

Öffnen sie ein Browserfenster und navigieren sie ins Microsoft Azure Admin center

 

Fenster "Home - Microsoft Azure"

Klappen sie das Menü auf.

Menü "Monitor" >

 

 

Fenster "Monitor - Microsoft Azure"

Menüabschnitt "Insights" >

Menü "Log Analytics workspaces" >

Auswahl log-prod-swissnorth-001 >

 

 

Fenster "log-prod-swissnorth-001 - Microsoft Azure"

Menüabschnitt "Monitoring" >

Menü "Alerts" >

+ Create >

Alert rule >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Scope"

Vergewissern sie sich, dass die richtige Resource (log-prod-swissnorth-001) ausgewählt wurde.

Next: Condition >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Condition"

Auswahl Signal name Custom log search >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Condition"

Auswahl Signal name Custom log search >

Query type [x] Aggregated logs

Eingabe Search query 

// Search for multiple Object IDs (UserIds)

SigninLogs

| project UserId

| where UserId == "561cfc56-80af-4b4c-84e9-7efe1a186b61" or UserId == "6952c2b7-ab78-455c-8d45-b8cbf83c0306"

 

Wichtig:
Ersetzen sie die UserID Werte mit den Object ID von ihren Break Glass Admins.

 

Abschnitt "Measurement"

Auswahl Measure Table rows >

Auswahl Aggregation type Count >

Auswahl Aggregation granularity 5 minutes >

 

Abschnitt "Split by dimensions"

Auswahl Resource ID column Don't split >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Abschnitt "Alert logic"

Auswahl Operator Greater than >

Eingabe Threshold value 0

Auswahl Frequency of evaluation 5 minutes >

💰Kostenmeldung:
Vorsicht sie sehen nun auch das die Alert rule bzw. Alert Regel monatliche Kosten generiert.

Next: Actions >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Actions"

Auswahl Select actions [x] Use action groups

 

Fenster "Select action groups"

[x] ag-prod-swissnorth-001 Select > Wenn sie noch keine Action group besitzen, dann erstellen sie eine wie im Kapitel 1.6.4 Erstellen einer Action group

beschrieben.

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Actions"

Next: Details >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Details"

Abschnitt "Project details"

Auswahl Subscription Pay-As-You-Go >

Auswahl Resource group Godangel >

 

Abschnitt "Alert rule details"

Auswahl Severity 0 - Critical >

Eingabe Alert rule name LogOn to Break Glass Admins

Eingabe Alert rule description Leer belassen

Auswahl Region Switzerland North >

 

Abschnitt "Identity"

[x] Default 

Unterabschnitt "Advanced options"

Abschnitt "Custom properties"

Auf Standard belassen

 

Abschnitt "Settings"

Enable upon creation [x]

Automatically resolve alerts [  ]

Mute actions [  ]

Require a workspace linkes storage [  ] Next: Tags > 


 

Fenster "Create an alert rule - Microsoft Azure"

Register "Tags"

Alles auf Standard belassen

Next: Review + create >

 

 

Fenster "Create an alert rule - Microsoft Azure"

Register "Review + create"

Überprüfen sie nochmals alle ihre Angaben und klicken sie auf

Create >

 

 

Die Alert Rule wurde erstellt.

 

 

Nun sollten sie wenn eine Anmeldung auf einem Ihrer Break Glass Admins protokolliert wird ein Hinweis E-Mail erhalten. Testen sie dies im nächsten Kapitel 1.6.6 Testen der Anmeldeüberwachung des Break Glass Admins

 

 



 

Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings
Rating hinzufügen

Zurück zur Blogübersicht

bottom of page