Monitor Signin of a specific AAD Account with LogAnalytics Alert Rule
Hallo zusammen,
Wie man die Azure AD Signins in einem Log Analytics Workspace speichert habe ich, ja schon in einem früheren Blog Artikel erklärt.
Integrate Azure AD Signins into Azure Log Analytics Workspace
In diesem Artikel will ich das Login eines speziellen Accounts per KQL abfragen. In diesem Fall ist das der Admin (Global Admin) Account.
SigninLogs | where UserPrincipalName == "admin@icewolfch.onmicrosoft.com" | where TimeGenerated > ago(30m)
Leider gibt es kein Attribut, mit welchem man erkennen kann, ob der User welcher sich da gerade einloggt Global Admin ist (jedenfalls habe ich keines gefunden, das Standardmässig da wäre).
Mit diesem KQL Query lege ich nun einen neuen Alert im LogAnalytics an
Alert Rule hinzufügen
Custom Query auswählen
Custom Query einfügen
Und so sieht dann der Alert aus.
