Мониторинг изменений конфигурации федерации в идентификаторе Microsoft Entra

При федеративной локальной среде с идентификатором Microsoft Entra id устанавливается отношение доверия между локальным поставщиком удостоверений и идентификатором Microsoft Entra.

В связи с этим установленным доверием идентификатор Microsoft Entra учитывает маркер безопасности, выданный локальным поставщиком удостоверений после проверки подлинности, чтобы предоставить доступ к ресурсам, защищенным идентификатором Microsoft Entra.

Поэтому очень важно тщательно отслеживать данное отношение доверия (конфигурацию федерации) и регистрировать все необычные или подозрительные действия.

Для мониторинга отношения доверия рекомендуется настроить оповещения, чтобы получать уведомления при внесении изменений в конфигурацию федерации.

Настройка оповещений для отслеживания отношения доверия

Чтобы настроить оповещения для отслеживания отношения доверия, выполните указанные ниже действия.

1. Настройте журналы аудита Microsoft Entra для потоков в рабочую область Azure Log Analytics.
2. Создайте правило генерации оповещений, которое активируется на основе запроса журнала идентификатора Microsoft Entra.
3. Добавьте в правило генерации оповещений группу действий, которая получает уведомление при выполнении условия оповещения.

После настройки среды данные обрабатываются описанным ниже образом.

1. Журналы Microsoft Entra заполняются на действие в клиенте.

2. Данные журнала поступают в рабочую область Azure Log Analytics.

3. Фоновое задание из Azure Monitor выполняет запрос к журналу на основе конфигурации правила генерации оповещений из шага настройки (2) выше.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Если результат запроса совпадает с логикой оповещения (то есть число результатов больше или равно 1), то срабатывает группа действий. Предположим, что она сработала, поэтому последовательность продолжается шагом 5.

5. Уведомление отправляется в группу действий, выбранную при настройке оповещения.

Примечание.

Помимо настройки оповещений, мы рекомендуем периодически просматривать настроенные домены в клиенте Microsoft Entra и удалять устаревшие, нераспознанные или подозрительные домены.

Следующие шаги

• Интеграция журналов Microsoft Entra с журналами Azure Monitor
• Создание, просмотр оповещений журнала и управление ими с помощью Azure Monitor
• Управление доверием AD FS с помощью идентификатора Microsoft Entra с помощью Microsoft Entra Подключение
• Рекомендации по защите служб федерации Active Directory