Skip to content

Commit

Permalink
[BugFix] GR1 V5 Compliance Messages and Code Logic Update (#318)
Browse files Browse the repository at this point in the history
* Small bug issue where comments dont show for wrong queries

* Updated messages for GR1 and fixed the bug where correct messages were not being displayed

* Added updated zip modules

* updated aa file
  • Loading branch information
alalvi00 authored Dec 19, 2024
1 parent 35d0cd1 commit 28c47b6
Show file tree
Hide file tree
Showing 7 changed files with 24 additions and 6 deletions.
Binary file modified psmodules/Check-AlertsMonitor.zip
Binary file not shown.
Binary file modified psmodules/GR-ComplianceChecks.zip
Binary file not shown.
2 changes: 1 addition & 1 deletion setup/IaC/modules/automationaccount.bicep
Original file line number Diff line number Diff line change
Expand Up @@ -409,7 +409,7 @@ resource guardrailsAC 'Microsoft.Automation/automationAccounts@2021-06-22' = if
properties: {
contentLink: {
uri: '${ModuleBaseURL}/Check-AlertsMonitor.zip'
version: '1.0.2'
version: '1.0.3'
}
}
}
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -14,7 +14,7 @@
RootModule = 'Check-AlertsMonitor'

# Version number of this module.
ModuleVersion = '1.0.2'
ModuleVersion = '1.0.3'

# Supported PSEditions
# CompatiblePSEditions = @()
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -163,6 +163,10 @@ function Check-AlertsMonitor {
$Comments += $msgTable.noActionGroupsForBGaccts
}
}
else{
$IsCompliant = $false
$Comments += $msgTable.noAlertRuleforBGaccts
}

#If alert rule has one of the queries to check audit logs
if($auditLogsQueriesMatching) {
Expand All @@ -179,10 +183,19 @@ function Check-AlertsMonitor {
$Comments += $msgTable.noActionGroupsForAuditLogs
}
}
else{
$IsCompliant = $false
$Comments += $msgTable.NoAlertRuleforCaps
}
}
catch{

#Set conditional messages
if($bgAcctQueriesMatching -and (-not $auditLogsQueriesMatching)){$Comments += $msgTable.noActionGroupsForBGaccts}
elseif($auditLogsQueriesMatching){$Comments += $msgTable.noActionGroupsForAuditLogs}
else{$Comments += $msgTable.noActionGroups -f $resourceGroupName}

$IsCompliant = $false
$Comments += $msgTable.noActionGroups -f $resourceGroupName
$ErrorList += "Could not find action groups for the given alert rules for the resource group: $_"
}

Expand Down
6 changes: 4 additions & 2 deletions src/GuardRails-Localization/GR-ComplianceChecks-Msgs.psd1
Original file line number Diff line number Diff line change
Expand Up @@ -29,11 +29,13 @@ gaAccntsMFACheck = MFA and Count for Global Administrator Accounts
alertsMonitor = Alerts to Flag Misuse and Suspicious Activities
signInlogsNotCollected = The SignInLogs are currently not enabled. SignInLogs must be enabled to monitor and log user sign-in activities in the environment.
auditlogsNotCollected = The AuditLogs are currently not enabled. AuditLogs must be enabled to capture and log all significant audit events within the environment.
noAlertRules = No alert rules were found for either SignInLogs or AuditLogs. Please ensure that alert rules are created and configured to monitor these logs for suspicious activities.
noAlertRules = No alert rules were found for SignInLogs or AuditLogs. Please ensure that alert rules are created and configured to monitor these logs for suspicious activities.
noActionGroupsForBGaccts = No action groups were identified for Break Glass account sign-in activities. Action groups must be configured to receive alerts for Break Glass account sign-in attempts.
noActionGroupsForAuditLogs = No action groups were found for AuditLogs. Action groups must be created to receive alerts for important auditable events.
noActionGroupsForAuditLogs = No action groups were found for Conditional Access Policy changes and updates. Action groups must be created to receive alerts for Conditional Access Policy changes and updates.
noActionGroups = No action groups were configured for the resource group “{0}”. Ensure that action groups are set up to receive alerts for the corresponding resource group's monitored activities.
compliantAlerts = The alerts for Break Glass accounts and audit logs are compliant. Appropriate action groups have been configured and are correctly receiving alerts for each monitored activity.
noAlertRuleforBGaccts = Create an alert for the Breakglass accounts using the SignInLogs. Missing one of the required alerts.
NoAlertRuleforCaps = Create an alert for the Conditional Access Policy changes and updates using the AuditLogs. Missing one of the required alerts.
globalAdminAccntsSurplus = There must be five or fewer global administrator accounts.
globalAdminAccntsMinimum = There are not enough Global Administrator Accounts. There must be at least two but no more than five Active Global Administrator Accounts.
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -36,9 +36,12 @@ signInlogsNotCollected = Les journaux de connexion « SignInLogs » ne sont actu
auditlogsNotCollected = Les journaux d'audit « AuditLogs » ne sont actuellement pas activés. Les « AuditLogs » doivent être activés pour capturer et enregistrer tous les événements d'audit significatifs dans l'environnement.
noAlertRules = Aucune règle d'alerte n'a été trouvée pour les journaux de connexion « SignInLogs » ou les journaux d'audit « AuditLogs ». Assurez-vous que des règles d'alerte sont créées et configurées pour surveiller ces journaux à la recherche d'activités suspectes.
noActionGroupsForBGaccts = Aucun groupe d'action n'a été identifié pour les activités de connexion au compte de bris de verre. Les groupes d'action doivent être configurés pour recevoir des alertes en cas de tentatives de connexion au compte de bris de verre.
noActionGroupsForAuditLogs = Aucun groupe d'action n'a été trouvé pour les journaux d'audit « AuditLogs ». Des groupes d'action doivent être créés pour recevoir des alertes pour les événements auditables importants.
noActionGroupsForAuditLogs = Aucun groupe d'action n'a été trouvé pour les modifications et les mises à jour de la politique d'accès conditionnel. Des groupes d'action doivent être créés pour recevoir des alertes pour les modifications et les mises à jour de la politique d'accès conditionnel.
has context menu
noActionGroups = Aucun groupe d'action n'a été configuré pour le groupe de ressources « {0} ». Assurez-vous que les groupes d'action sont configurés pour recevoir des alertes pour les activités surveillées du groupe de ressources correspondant.
compliantAlerts = Les alertes pour les comptes de bris de verre et les journaux d'audit « AuditLogs » sont conformes. Les groupes d'action appropriés ont été configurés et reçoivent correctement des alertes pour chaque activité surveillée.
noAlertRuleforBGaccts = Créez une alerte pour les comptes de bris de verre en utilisant « SignInLogs ». Il manque une des alertes requises.
noAlertRuleforCaps = Créez une alerte pour les modifications et les mises à jour de la politique d'accès conditionnel en utilisant « AuditLogs ». Il manque une des alertes requises.
allCloudUserAccountsMFACheck = Tous les comptes d'utilisateurs infonuagiques stratégie d'accès conditionnel AMF
allUserAccountsMFACheck = Vérification de l'AMF de tous les comptes d'utilisateurs infonuagiques
Expand Down

0 comments on commit 28c47b6

Please sign in to comment.