Monitorar alterações na configuração de federação em sua ID do Microsoft Entra

Ao federar seu ambiente local com a ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e a ID do Microsoft Entra.

Devido a essa confiança estabelecida, o Microsoft Entra ID honra o token de segurança emitido pelo provedor de identidade local após a autenticação, para conceder acesso a recursos protegidos pelo Microsoft Entra ID.

Portanto, é fundamental que essa confiança (configuração de federação) seja monitorada de perto e qualquer atividade incomum ou suspeita seja capturada.

Para monitorar a relação de confiança, recomendamos que você configure alertas para ser notificado quando forem feitas alterações na configuração de federação.

Configurar alertas para monitorar a relação de confiança

Siga estas etapas para configurar alertas para monitorar a relação de confiança:

1. Configure os logs de auditoria do Microsoft Entra para fluir para um Espaço de Trabalho do Azure Log Analytics.
2. Crie uma regra de alerta que seja acionada com base na consulta de log do Microsoft Entra ID.
3. Adicione um grupo de ações à regra de alerta que é notificado quando a condição de alerta é atendida.

Depois que o ambiente é configurado, os dados fluem da seguinte maneira:

1. Os logs do Microsoft Entra são preenchidos de acordo com a atividade no locatário.

2. As informações de log fluem para o espaço de trabalho do Azure Log Analytics.

3. Um trabalho em segundo plano do Azure Monitor executa a consulta de log com base na configuração da Regra de Alerta na etapa de configuração (2) acima.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Se o resultado da consulta corresponder à lógica de alerta (ou seja, o número de resultados for maior ou igual a 1), o grupo de ações será acionado. Vamos supor que ele entrou em ação, então o fluxo continua na etapa 5.

5. A notificação é enviada para o grupo de ações selecionado durante a configuração do alerta.

Nota

Além de configurar alertas, recomendamos revisar periodicamente os domínios configurados em seu locatário do Microsoft Entra e remover quaisquer domínios obsoletos, não reconhecidos ou suspeitos.

Próximos passos

• Integrar logs do Microsoft Entra com logs do Azure Monitor
• Criar, exibir e gerenciar alertas de log usando o Azure Monitor
• Gerenciar a confiança do AD FS com a ID do Microsoft Entra usando o Microsoft Entra Connect
• Práticas recomendadas para proteger os Serviços de Federação do Ative Directory