온-프레미스 환경을 Microsoft Entra ID와 페더레이션하는 경우 온-프레미스 ID 공급자와 Microsoft Entra ID 간에 트러스트 관계를 설정합니다.
이러한 신뢰로 인해 Microsoft Entra ID는 인증 후 온-프레미스 ID 공급자가 발급한 보안 토큰을 존중하여 Microsoft Entra ID로 보호되는 리소스에 대한 액세스 권한을 부여합니다.
따라서 이 트러스트(페더레이션 구성)를 면밀히 모니터링하고 비정상적이거나 의심스러운 활동을 캡처하는 것이 중요합니다.
신뢰 관계를 모니터링하려면 페더레이션 구성이 변경될 때 알림을 받도록 경고를 설정하는 것이 좋습니다.
트러스트 관계를 모니터링하도록 경고 설정
다음 단계에 따라 트러스트 관계를 모니터링하는 경고를 설정합니다.
- Microsoft Entra 감사 로그가 Azure Log Analytics 작업 영역으로 전송되도록 구성합니다.
- Microsoft Entra ID 로그 쿼리를 기반으로 트리거하는 경고 규칙 만듭니다.
- 경고 조건이 충족될 때 알림을 받는 경고 규칙에 작업 그룹 추가합니다.
환경이 구성되면 다음과 같이 데이터가 흐릅니다.
Microsoft Entra 로그는 테넌트에서의 활동에 따라 채워집니다.
로그 정보는 Azure Log Analytics 작업 영역으로 흐릅니다.
Azure Monitor의 백그라운드 작업은 위의 구성 단계(2)에서 경고 규칙의 구성에 따라 로그 쿼리를 실행합니다.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type쿼리 결과가 경고 논리와 일치하면(즉, 결과 수가 1보다 크거나 같음) 작업 그룹이 시작됩니다. 5단계에서 흐름이 계속되도록 작동했다고 가정해 보겠습니다.
알림을 구성하는 동안 선택한 작업 그룹으로 알림이 전송됩니다.
메모
경고를 설정하는 것 외에도 Microsoft Entra 테넌트 내에서 구성된 도메인을 주기적으로 검토하고 부실하거나 인식할 수 없거나 의심스러운 도메인을 제거하는 것이 좋습니다.
다음 단계
- Azure Monitor 로그와 Microsoft Entra 로그 통합
- Azure Monitor 사용하여 로그 경고 만들기, 보기 및 관리
- Microsoft Entra Connect 사용하여 Microsoft Entra ID로 AD FS 트러스트 관리
- Active Directory Federation Services 보안을 위한 모범 사례