#azure-active-directory #kql
Вопрос:
Мне интересно, есть ли способ определить, включена ли учетная запись в определенную группу Azure Active Directory с помощью KQL?
Это запрос KQL, который помечает предупреждение:
SecurityAlert
| summarize arg_max(TimeGenerated, *) by SystemAlertId
| where SystemAlertId in("ed518654-9ac0-b869-e962-58b940a86959")
В этом примере отмечается событие массовой загрузки, но оно инициируется известной учетной записью, используемой для резервного копирования данных. У меня есть несколько подобных учетных записей для разных сценариев.
Я подумал, что если я создам группу AAD и добавлю эти учетные записи, можно ли уменьшить шум предупреждений с помощью запроса KQL, в котором учетная запись, выполняющая действие, является членом определенной группы? Или есть лучший способ сделать это?
Ответ №1:
Конечно, вы можете сделать это так:
print current_principal_is_member_of('aadgroup=mygroup@mycompany.com')
Комментарии:
1. Привет, спасибо за ваш ответ, но я хочу его для пользователя, который вызвал предупреждение. Не для пользователя, выполняющего запрос.
2. Затем вам потребуется обновить конвейер приема, чтобы ввести правильные данные в обозреватель данных Azure (ADX). ADX может выполнять запросы к данным, которые вы приняли, но он не может угадать, какие данные вы на самом деле намеревались принять.