Érzékelők konfigurálása az AD FS-hez, az AD CS-hez és Microsoft Entra Connecthez

Telepítse a Defender for Identity érzékelőit a Active Directory összevonási szolgáltatások (AD FS) (AD FS), az Active Directory Tanúsítványszolgáltatások (AD CS) és a Microsoft Entra Connect-kiszolgálókra, hogy megvédje őket a helyszíni és a felhőbeli támadásoktól. Ez a cikk a telepítés lépéseit ismerteti.

Ezek a szempontok a következők:

• AD FS-környezetek esetében a Defender for Identity érzékelői csak az összevonási kiszolgálókon támogatottak. Ezek nem szükségesek a webes alkalmazásproxy (WAP) kiszolgálókon.
• AD CS-környezetek esetén nem kell érzékelőket telepítenie az offline AD CS-kiszolgálókra.
• A Microsoft Entra Connect-kiszolgálók esetében az érzékelőket az aktív és az átmeneti kiszolgálókra is telepítenie kell.

Előfeltételek

A Defender for Identity-érzékelők AD FS-, AD CS- vagy Microsoft Entra Connect-kiszolgálókra való telepítésének előfeltételei Microsoft Defender for Identity előfeltételekről szóló cikkben találhatók.

Egy AD FS-, AD CS- vagy Microsoft Entra Connect-kiszolgálón telepített érzékelő nem tudja használni a helyi szolgáltatásfiókot a tartományhoz való csatlakozáshoz. Ehelyett konfigurálnia kell egy címtárszolgáltatás-fiókot.

Emellett az AD CS-hez készült Defender for Identity érzékelő csak a hitelesítésszolgáltatói szerepkör-szolgáltatással rendelkező AD CS-kiszolgálókat támogatja.

Eseménygyűjtés konfigurálása

Ha AD FS-, AD CS- vagy Microsoft Entra Connect-kiszolgálókkal dolgozik, győződjön meg arról, hogy szükség szerint konfigurálta a naplózást. További információ:

• AD FS:

  • Szükséges AD FS-események
  • Naplózás konfigurálása az AD FS-en

• AD CS:

  • Szükséges AD CS-események
  • Naplózás konfigurálása AD CS-n

• Microsoft Entra Connect:

  • Kötelező Microsoft Entra Connect-események
  • Naplózás konfigurálása Microsoft Entra Connecten

Olvasási engedélyek konfigurálása az AD FS-adatbázishoz

Ahhoz, hogy az AD FS-kiszolgálókon futó érzékelők hozzáférhessenek az AD FS-adatbázishoz, olvasási (db_datareader) engedélyeket kell adnia a megfelelő címtárszolgáltatás-fiókhoz.

Ha egynél több AD FS-kiszolgálóval rendelkezik, mindenképpen adja meg ezt az engedélyt mindegyikhez. Az adatbázis-engedélyek nem replikálódnak a kiszolgálók között.

Konfigurálja úgy az SQL-kiszolgálót, hogy engedélyezze a címtárszolgáltatás-fiókot az alábbi engedélyekkel az AdfsConfiguration adatbázishoz:

• összeköt
• bejelentkezés
• olvas
• kiválaszt

Hozzáférés biztosítása az AD FS-adatbázishoz

Adjon hozzáférést az AD FS-adatbázishoz a SQL Server Management Studio, a Transact-SQL (T-SQL) vagy a PowerShell használatával.

Az alábbi parancsok például akkor lehetnek hasznosak, ha a belső Windows-adatbázis (WID) vagy egy külső SQL-kiszolgálót használ.

Az alábbi mintakódokban:

• [DOMAIN1\mdiSvc01] A a munkaterület címtárszolgáltatás-felhasználója. Ha gMSA-val dolgozik, fűzze hozzá $ a elemet a felhasználónév végéhez. Például: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 Egy példa egy AD FS-adatbázis nevére, amely változhat.
• server=\.\pipe\MICROSOFT##WID\tsql\querywid használata esetén az adatbázis kapcsolati karakterlánc.

Tipp

Ha nem ismeri a kapcsolati karakterlánc, kövesse az Windows Server dokumentációjában található lépéseket.

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a T-SQL használatával:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a PowerShell használatával:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

A Microsoft Entra Connect- (ADSync-) adatbázis engedélyeinek konfigurálása

Megjegyzés:

Ez a szakasz csak akkor alkalmazható, ha az Entra Connect-adatbázis egy külső SQL Server-példányon található.

A Microsoft Entra Connect-kiszolgálókon futó érzékelőknek hozzáféréssel kell rendelkezniük az ADSync-adatbázishoz, és végre kell hajtaniuk a vonatkozó tárolt eljárásokat. Ha egynél több Microsoft Entra Connect-kiszolgálóval rendelkezik, mindenképpen futtassa az összes kiszolgálón.

Az érzékelő engedélyeinek megadása az Microsoft Entra Connect ADSync-adatbázishoz a PowerShell használatával:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Telepítés utáni lépések (nem kötelező)

Az érzékelő AD FS-, AD CS- vagy Microsoft Entra Connect-kiszolgálón való telepítése során a legközelebbi tartományvezérlő lesz automatikusan kiválasztva. A kijelölt tartományvezérlő ellenőrzéséhez vagy módosításához kövesse az alábbi lépéseket:

1. A Microsoft Defender XDR lépjen a Beállítások>Identitásérzékelők> területre az összes Defender for Identity-érzékelő megtekintéséhez.

2. Keresse meg és válassza ki a kiszolgálón telepített érzékelőt.

3. A megnyíló panel Tartományvezérlő (FQDN) mezőjébe írja be a feloldó tartományvezérlők teljes tartománynevét (FQDN). Válassza a + Hozzáadás lehetőséget a teljes tartománynév hozzáadásához, majd válassza a Mentés lehetőséget.

   

Az érzékelő inicializálása eltarthat néhány percig. Amikor befejeződik, az AD FS, az AD CS vagy a Microsoft Entra Connect érzékelő szolgáltatásállapota leálltrólfutóra változik.

Sikeres üzembe helyezés ellenőrzése

Annak ellenőrzése, hogy sikeresen üzembe helyezett-e egy Defender for Identity-érzékelőt egy AD FS- vagy AD CS-kiszolgálón:

1. Ellenőrizze, hogy fut-e a Azure Advanced Threat Protection érzékelőszolgáltatás. A Defender for Identity érzékelőbeállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.

2. Ha a szolgáltatás nem indul el, tekintse át a Microsoft.Tri.sensor-Errors.log fájlt, amely alapértelmezés szerint a következő helyen %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logstalálható: .

3. Az AD FS vagy az AD CS használatával hitelesítsen egy felhasználót bármely alkalmazásban, majd ellenőrizze, hogy a Defender for Identity észlelte-e a hitelesítést.

   Válassza például a HuntingAdvanced Hunting (Speciális veszélyforrás-keresés)> lehetőséget. A Lekérdezés panelen adja meg és futtassa az alábbi lekérdezések egyikét:

   • AD FS esetén:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     Az eredmények ablaktáblájának tartalmaznia kell az ADFS-hitelesítéssel rendelkező Bejelentkezés LogonType értékkel rendelkező események listáját.

   • AD CS esetén:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     Az eredmények panelen a sikertelen és sikeres tanúsítványkiállítási események listája látható. Jelöljön ki egy adott sort a Rekord vizsgálata panel további részleteinek megtekintéséhez.

     

Kapcsolódó tartalom

További információ:

• Microsoft Defender for Identity előfeltételek
• A Microsoft Defender for Identity érzékelő telepítése