Azure Security Center utiliza el Control de acceso basado en roles (RBAC), que proporciona roles integrados que pueden asignarse a usuarios, grupos y servicios en Azure. Cuando se planea utilizar el Security Center, es importante leer previamente el artículo sobre Permisos en Azure Security Center para tener una visión más precisa sobre los roles clave y las acciones que estos roles pueden realizar.
Una pregunta que surge muy a menudo es: ¿cómo puedo saber quién cambió mi configuración del Centro de seguridad? Vamos a usar un ejemplo muy simple: noté que mi información de contacto de seguridad solo tiene un correo electrónico, cuando antes solía ser tres. ¿Qué ha pasado aquí? Para investigar cuándo se produjo este cambio, podemos usar Azure Activity log. Para este caso particular, deberíamos ver una entrada similar a la siguiente:
Si hacemos clic en la acción «Eliminar contacto de seguridad», tendrá acceso al contenido de JSON, y allí podrá ver más información sobre quién realizó esta acción y cuándo se realizó.
El uso de Azure Activity Log también puede ser muy útil para ver quién realizó cambios en la Política de seguridad del Azure Security Center. Vamos a usar como ejemplo la política a continuación. Esta política en el pasado se configuró como AuditIfNotExists y ahora se muestra como deshabilitada:
Una vez más, queremos saber cuándo se realizó este cambio y quién lo hizo. Usando Azure Activity Log, buscaremos la siguiente operación:
Nota: Si tenemos muchas actividades, debe añadir un filtro donde «Operación» es «Crear asignación de políticas».
Abrimos el JSON para esta operación, investigamos el cuerpo de la solicitud, y veremos que la política de MFA que se cambió a deshabilitada está ahí:
¡Suscríbete a nuestras RRSS!
