Поделиться через


Мониторинг изменений конфигурации федерации в идентификаторе Microsoft Entra

При федеративной локальной среде с идентификатором Microsoft Entra id устанавливается отношение доверия между локальным поставщиком удостоверений и идентификатором Microsoft Entra.

В связи с этим установленным доверием идентификатор Microsoft Entra учитывает маркер безопасности, выданный локальным поставщиком удостоверений после проверки подлинности, чтобы предоставить доступ к ресурсам, защищенным идентификатором Microsoft Entra.

Поэтому очень важно тщательно отслеживать данное отношение доверия (конфигурацию федерации) и регистрировать все необычные или подозрительные действия.

Для мониторинга отношения доверия рекомендуется настроить оповещения, чтобы получать уведомления при внесении изменений в конфигурацию федерации.

Настройка оповещений для отслеживания отношения доверия

Чтобы настроить оповещения для отслеживания отношения доверия, выполните указанные ниже действия.

  1. Настройте журналы аудита Microsoft Entra для потоков в рабочую область Azure Log Analytics.
  2. Создайте правило генерации оповещений, которое активируется на основе запроса журнала идентификатора Microsoft Entra.
  3. Добавьте в правило генерации оповещений группу действий, которая получает уведомление при выполнении условия оповещения.

После настройки среды данные обрабатываются описанным ниже образом.

  1. Журналы Microsoft Entra заполняются на действие в клиенте.

  2. Данные журнала поступают в рабочую область Azure Log Analytics.

  3. Фоновое задание из Azure Monitor выполняет запрос к журналу на основе конфигурации правила генерации оповещений из шага настройки (2) выше.

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. Если результат запроса совпадает с логикой оповещения (то есть число результатов больше или равно 1), то срабатывает группа действий. Предположим, что она сработала, поэтому последовательность продолжается шагом 5.

  5. Уведомление отправляется в группу действий, выбранную при настройке оповещения.

Примечание.

Помимо настройки оповещений, мы рекомендуем периодически просматривать настроенные домены в клиенте Microsoft Entra и удалять устаревшие, нераспознанные или подозрительные домены.

Следующие шаги