Monitor Signin of a specific AAD Account with LogAnalytics Alert Rule

Hallo zusammen,

Wie man die Azure AD Signins in einem Log Analytics Workspace speichert habe ich, ja schon in einem früheren Blog Artikel erklärt. 

Integrate Azure AD Signins into Azure Log Analytics Workspace

http://blog.icewolf.ch/archive/2020/03/17/integrate-azure-ad-signins-into-azure-log-analytics-workspace.aspx

In diesem Artikel will ich das Login eines speziellen Accounts per KQL abfragen. In diesem Fall ist das der Admin (Global Admin) Account.

SigninLogs | where UserPrincipalName == "admin@icewolfch.onmicrosoft.com" | where TimeGenerated > ago(30m)

Leider gibt es kein Attribut, mit welchem man erkennen kann, ob der User welcher sich da gerade einloggt Global Admin ist (jedenfalls habe ich keines gefunden, das Standardmässig da wäre).

Mit diesem KQL Query lege ich nun einen neuen Alert im LogAnalytics an

Alert Rule hinzufügen

Custom Query auswählen

Custom Query einfügen

Und so sieht dann der Alert aus.

Grüsse
Andres Bohren