Microsoft Entra ID의 페더레이션 구성 변경 내용을 모니터링합니다.
온-프레미스 환경을 Microsoft Entra ID와 페더레이션하면 온-프레미스 ID 공급자와 Microsoft Entra ID 간에 신뢰 관계가 설정됩니다.
이렇게 설정된 신뢰로 인해 Microsoft Entra ID는 온-프레미스 ID 공급자 사후 인증에서 발급한 보안 토큰을 존중하여 Microsoft Entra ID로 보호되는 리소스에 대한 액세스 권한을 부여합니다.
따라서 이 트러스트(페더레이션 구성)를 긴밀하게 모니터링하고 비정상적이거나 의심스러운 활동을 캡처하는 것이 중요합니다.
트러스트 관계를 모니터링하려면 페더레이션 구성이 변경 될 때 알림을 받도록 경고를 설정하는 것이 좋습니다.
트러스트 관계를 모니터링하는 경고 설정
다음 단계를 수행하여 트러스트 관계를 모니터링하는 경고를 설정합니다.
- Azure Log Analytics 작업 영역으로 전달되도록 Microsoft Entra 감사 로그를 구성합니다.
- Microsoft Entra ID 로그 쿼리를 기반으로 트리거되는 경고 규칙을 만듭니다.
- 경고 조건이 충족될 때 알림을 받는 경고 규칙에 작업 그룹을 추가합니다.
환경이 구성된 후 데이터는 다음과 같이 이동합니다.
Microsoft Entra 로그는 테넌트의 작업별로 채워집니다.
로그 정보는 Azure Log Analytics 작업 영역으로 이동합니다.
Azure Monitor의 백그라운드 작업은 위 구성 단계(2)에 있는 경고 규칙의 구성에 따라 로그 쿼리를 실행합니다.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type쿼리 결과가 경고 논리와 일치하는 경우(즉, 결과 수가 1보다 크거나 같음) 작업 그룹이 시작됩니다. 작업 그룹이 시작되었으므로 5단계에서 흐름이 계속된다고 가정하겠습니다.
알림은 경고를 구성하는 동안 선택된 작업 그룹으로 전송됩니다.
참고 항목
경고를 설정하는 것 외에도 Microsoft Entra 테넌트 내에 구성된 도메인을 정기적으로 검토하고, 오래되었거나 인식할 수 없거나 의심스러운 도메인을 제거하는 것이 좋습니다.