Configurando sensores para AD FS e AD CS

Instale os sensores do Defender for Identity nos servidores dos Serviços de Federação do Ative Directory (AD FS) e dos Serviços de Certificados do Ative Directory (AD CS) para protegê-los de ataques locais.

Este artigo descreve as etapas necessárias ao instalar os sensores do Defender for Identity em servidores AD FS ou AD CS.

Nota

Para ambientes AD FS, o sensor Defender for Identity é suportado apenas nos servidores de federação e não é necessário nos servidores WAP (Web Application Proxy). Para ambientes AD CS, não é necessário instalar o sensor em nenhum servidor AD CS que esteja offline.

Pré-requisitos

Os pré-requisitos para instalar sensores do Defender for Identity em servidores AD FS ou AD CS são os mesmos que para instalar sensores em controladores de domínio. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.

Além disso, o sensor do Defender for Identity para AD CS suporta apenas servidores AD CS com Serviço de Função de Autoridade de Certificação.

Configurar o log detalhado para eventos do AD FS

Os sensores executados em servidores AD FS devem ter o nível de auditoria definido como Detalhado para eventos relevantes. Por exemplo, use o seguinte comando para configurar o nível de auditoria para Verbose:

Set-AdfsProperties -AuditLevel Verbose

Para obter mais informações, consulte:

• Eventos necessários dos Serviços de Federação do Ative Directory (AD FS)
• Configurar a auditoria em um AD FS (Serviços de Federação do Ative Directory)
• Solucionar problemas dos Serviços de Federação do Ative Directory com eventos e registro em log

Configurar permissões de leitura para o banco de dados do AD FS

Para que os sensores executados em servidores AD FS tenham acesso ao banco de dados do AD FS, você precisa conceder permissões de leitura (db_datareader) para a Conta de Serviços de Diretório relevante configurada.

Se você tiver mais de um servidor AD FS, certifique-se de conceder essa permissão em todos eles, pois as permissões de banco de dados não são replicadas entre servidores.

Configure o servidor SQL para permitir a conta de serviço de diretório com as seguintes permissões para o banco de dados AdfsConfiguration:

• Conecte-se
• Iniciar sessão
• Leia
• selecione

Nota

Se o banco de dados do AD FS for executado em um servidor SQL dedicado em vez do servidor AD FS local e você estiver usando uma conta de serviço gerenciada por grupo (gMSA) como a Conta de Serviços de Diretório (DSA), certifique-se de conceder ao servidor SQL as permissões necessárias para recuperar a senha do gMSA.

Conceder acesso ao banco de dados do AD FS

Conceda acesso ao banco de dados usando o SQL Server Management Studio, TSQL ou PowerShell.

Por exemplo, os comandos listados abaixo podem ser úteis se você estiver usando o Banco de Dados Interno do Windows (WID) ou um servidor SQL externo.

Nestes códigos de exemplo:

• [DOMAIN1\mdiSvc01] é o usuário de serviços de diretório do espaço de trabalho. Se você estiver trabalhando com um gMSA, acrescente a $ ao final do nome de usuário. Por exemplo: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 é um exemplo de um nome de banco de dados do AD FS e pode variar
• server=.\pipe\MICROSOFT##WID\tsql\query - é a cadeia de conexão com o banco de dados se você estiver usando WID

Gorjeta

Se você não souber sua cadeia de conexão, siga as etapas na documentação do servidor Windows.

Para conceder ao sensor acesso ao banco de dados do AD FS usando TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para conceder ao sensor acesso ao banco de dados do AD FS usando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurar a coleta de eventos para servidores AD FS / AD CS

Se estiver a trabalhar com servidores AD FS / AD CS, certifique-se de que configurou a auditoria conforme necessário. Para obter mais informações, consulte:

• AD FS:

  • Eventos necessários dos Serviços de Federação do Ative Directory (AD FS)
  • Configurar a auditoria em um AD FS (Serviços de Federação do Ative Directory)

• AD CS:

  • Eventos necessários dos Serviços de Certificados do Ative Directory (AD CS)
  • Configurar auditoria para os Serviços de Certificados do Ative Directory (AD CS)

Validar a implantação bem-sucedida em servidores AD FS / AD CS

Para validar se o sensor do Defender for Identity foi implantado com êxito em um servidor AD FS:

1. Verifique se o serviço do sensor Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender for Identity, pode levar alguns segundos para que o serviço seja iniciado.

2. Se o serviço não iniciar, revise o Microsoft.Tri.sensor-Errors.log arquivo, localizado por padrão em: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Use o AD FS ou AD CS para autenticar um usuário em qualquer aplicativo e verifique se a autenticação foi observada pelo Defender for Identity.

   Por exemplo, selecione Hunting Advanced Hunting>. No painel Consulta, insira e execute uma das seguintes consultas:

   Para o AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   O painel de resultados deve incluir uma lista de eventos com um LogonType de logon com autenticação ADFS

   Para AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   O painel de resultados deve incluir uma lista de eventos de emissão de certificado com falha e bem-sucedida. Selecione uma linha específica para ver detalhes adicionais no painel esquerdo Inspecionar registro . Por exemplo:

   

Etapas de pós-instalação para servidores AD FS / AD CS (opcional)

A instalação do sensor num servidor AD FS / AD CS seleciona automaticamente o controlador de domínio mais próximo. Use as etapas a seguir para verificar ou modificar o controlador de domínio selecionado.

1. No Microsoft Defender XDR, vá para Sensores de identidades>de configurações>para exibir todos os sensores do Defender for Identity.

2. Localize e selecione o sensor instalado em um servidor AD FS / AD CS.

3. No painel aberto, no campo Controlador de Domínio (FQDN), insira o FQDN dos controladores de domínio do resolvedor. Selecione + Adicionar para adicionar o FQDN e, em seguida, selecione Guardar. Por exemplo:

   

A inicialização do sensor pode levar alguns minutos, momento em que o status do serviço do sensor AD FS / AD CS deve mudar de interrompido para em execução.

Conteúdos relacionados

Para obter mais informações, consulte:

• Pré-requisitos do Microsoft Defender for Identity
• Instalar o sensor Microsoft Defender for Identity