Monitorar alterações na configuração de federação em seu ID do Microsoft Entra

Ao federar seu ambiente local com o ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e o ID do Microsoft Entra.

Devido a essa confiança estabelecida, o ID do Microsoft Entra honra o token de segurança emitido pelo provedor de identidade local pós-autenticação, para conceder acesso a recursos protegidos pelo ID do Microsoft Entra.

Portanto, é fundamental que essa relação de confiança (configuração de federação) seja estritamente monitorada, e qualquer atividade incomum ou suspeita seja capturada.

Para monitorar a relação de confiança, recomendamos que você configure alertas para serem notificados quando forem feitas alterações na configuração de federação.

Configurar alertas para monitorar a relação de confiança

Siga estas etapas para configurar alertas para monitorar a relação de confiança:

1. Configure os logs de auditoria do Microsoft Entra para fluir para um Espaço de Trabalho do Azure Log Analytics.
2. Crie uma regra de alerta que seja acionada com base na consulta de log de ID do Microsoft Entra.
3. Adicione um grupo de ações à regra de alerta que é notificado quando a condição de alerta é atendida.

Depois que o ambiente é configurado, os dados fluem da seguinte maneira:

1. Os logs do Microsoft Entra são preenchidos de acordo com a atividade no locatário.

2. As informações de log fluem para o workspace do Log Analytics do Azure.

3. Um trabalho em segundo plano do Azure Monitor executa a consulta de log com base na configuração da Regra de Alerta na etapa de configuração (2) acima.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Se o resultado da consulta corresponder à lógica de alerta (ou seja, o número de resultados for maior que ou igual a 1), o grupo de ações será acionado. Vamos supor que ele seja iniciado, portanto, o fluxo continua na etapa 5.

5. A notificação é enviada ao grupo de ações selecionado durante a configuração do alerta.

Observação

Além de configurar alertas, recomendamos revisar periodicamente os domínios configurados em seu locatário do Microsoft Entra e remover quaisquer domínios obsoletos, não reconhecidos ou suspeitos.

Próximas etapas

• Integrar logs do Microsoft Entra aos logs do Azure Monitor
• Criar, exibir e gerenciar alertas de log usando o Azure Monitor
• Gerencie a confiança do AD FS com o ID do Microsoft Entra usando o Microsoft Entra Connect
• Práticas recomendadas para proteção dos Serviços de Federação do Active Directory