Configuration de capteurs pour AD FS et AD CS

Installez les capteurs Defender pour Identity sur les serveurs services de fédération Active Directory (AD FS) (AD FS) et les services de certificats Active Directory (AD CS) pour les protéger contre les attaques locales.

Cet article décrit les étapes requises lors de l’installation de capteurs Defender pour Identity sur des serveurs AD FS ou AD CS.

Remarque

Pour les environnements AD FS, le capteur Defender pour Identity est pris en charge uniquement sur les serveurs de fédération et n’est pas requis sur les serveurs WAP (Web Application Proxy). Pour les environnements AD CS, vous n’avez pas besoin d’installer le capteur sur des serveurs AD CS hors connexion.

Prérequis

Les conditions préalables à l’installation des capteurs Defender pour Identity sur des serveurs AD FS ou AD CS sont les mêmes que pour l’installation de capteurs sur des contrôleurs de domaine. Pour plus d’informations, consultez Prérequis pour Microsoft Defender pour Identity.

En outre, le capteur Defender pour Identity pour AD CS prend uniquement en charge les serveurs AD CS avec le service de rôle d’autorité de certification.

Configurer la journalisation détaillée pour les événements AD FS

Les capteurs s’exécutant sur des serveurs AD FS doivent avoir le niveau d’audit défini sur Verbose pour les événements pertinents. Par exemple, utilisez la commande suivante pour configurer le niveau d’audit sur Verbose :

Set-AdfsProperties -AuditLevel Verbose

Pour plus d’informations, consultez l’article suivant :

• Événements requis pour les services de fédération Active Directory (AD FS)
• Configurer les audits dans les services de fédération Active Directory (AD FS)
• Résoudre les problèmes d’AD FS avec les événements et la journalisation

Configurer les autorisations de lecture pour la base de données AD FS

Pour que les capteurs s’exécutant sur des serveurs AD FS aient accès à la base de données AD FS, vous devez accorder des autorisations de lecture (db_datareader) pour le compte de services d’annuaire approprié configuré.

Si vous avez plusieurs serveurs AD FS, veillez à accorder cette autorisation à tous, car les autorisations de base de données ne sont pas répliquées sur plusieurs serveurs.

Configurez le serveur SQL pour autoriser le compte de service d’annuaire avec les autorisations suivantes à la base de données AdfsConfiguration :

• connect
• connexion
• read
• select

Remarque

Si la base de données AD FS s’exécute sur un serveur SQL dédié au lieu du serveur AD FS local et que vous utilisez un compte de service géré par un groupe (gMSA) en tant que compte de services d’annuaire (DSA), veillez à accorder au serveur SQL les autorisations requises pour récupérer le mot de passe de gMSA.

Accorder l’accès à la base de données AD FS

Accordez l’accès à la base de données à l’aide de SQL Server Management Studio, TSQL ou PowerShell.

Par exemple, les commandes répertoriées ci-dessous peuvent être utiles si vous utilisez le Base de données interne Windows (WID) ou un serveur SQL externe.

Dans ces exemples de codes :

• [DOMAIN1\mdiSvc01] est l’utilisateur des services d’annuaire de l’espace de travail. Si vous travaillez avec un compte gMSA, ajoutez un $ à la fin du nom d’utilisateur. Par exemple : [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 est un exemple de nom de base de données AD FS et peut varier
• server=.\pipe\MICROSOFT##WID\tsql\query : est la chaîne de connexion à la base de données si vous utilisez WID

Conseil

Si vous ne connaissez pas votre chaîne de connexion, suivez les étapes décrites dans la documentation du serveur Windows.

Pour accorder au capteur l’accès à la base de données AD FS à l’aide de TSQL :

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Pour accorder au capteur l’accès à la base de données AD FS à l’aide de PowerShell :

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurer la collecte d’événements pour les serveurs AD FS / AD CS

Si vous utilisez des serveurs AD FS / AD CS, vérifiez que vous avez configuré l’audit en fonction des besoins. Pour plus d’informations, consultez l’article suivant :

• AD FS :

  • Événements requis pour les services de fédération Active Directory (AD FS)
  • Configurer les audits dans les services de fédération Active Directory (AD FS)

• AD CS :

  • Événements requis des services de certificats Active Directory (AD CS)
  • Audit de la configuration pour les services de certificats Active Directory (AD CS)

Valider le déploiement réussi sur les serveurs AD FS / AD CS

Pour vérifier que le capteur Defender pour Identity a été correctement déployé sur un serveur AD FS :

1. Vérifiez que le service de capteur Azure Advanced Threat Protection est en cours d’exécution. Après avoir enregistré les paramètres du capteur Defender pour Identity, le démarrage du service peut prendre quelques secondes.

2. Si le service ne démarre pas, passez en revue le fichier Microsoft.Tri.sensor-Errors.log, situé par défaut à l’adresse suivante : %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Utilisez AD FS ou AD CS pour authentifier un utilisateur auprès de n’importe quelle application, puis vérifiez que l’authentification a été observée par Defender pour Identity.

   Par exemple, sélectionnez Chasse>Chasse avancée. Dans le volet Requête, entrez et exécutez une des requêtes suivantes :

   Pour AD FS :

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Le volet de résultats doit inclure une liste d’événements avec un LogonType d’ouverture de session avec l’authentification ADFS

   Pour AD CS :

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Le volet de résultats doit inclure une liste d’événements ayant échoué et réussi l’émission de certificat. Sélectionnez une ligne spécifique pour afficher des détails supplémentaires dans le volet gauche Inspecter l’enregistrement. Par exemple :

   

Étapes de post-installation pour les serveurs AD FS / AD CS (facultatif)

L’installation du capteur sur un serveur AD FS / AD CS sélectionne automatiquement le contrôleur de domaine le plus proche. Procédez comme suit pourvérifier ou modifier le contrôleur de domaine sélectionné.

1. Dans Microsoft Defender XDR, accédez à Paramètres> Identités>Capteurs pour afficher tous vos capteurs Defender for Identity.

2. Recherchez et sélectionnez le capteur que vous avez installé sur un serveur AD FS / AD CS.

3. Dans le volet qui s’ouvre, dans le champ Contrôleur de domaine (FQDN), entrez le nom de domaine complet des contrôleurs de domaine du programme de résolution. Sélectionnez + Ajouter pour ajouter le nom de domaine complet, puis sélectionnez Enregistrer. Par exemple :

   

L’initialisation du capteur peut prendre quelques minutes, auquel moment l’état du service de capteur AD FS / AD CS doit passer de l’arrêt à l’exécution.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

• Prérequis pour Microsoft Defender pour Identity
• Installer le capteur Microsoft Defender pour Identity