AD FS ve AD CS için algılayıcıları yapılandırma
Kimlik için Defender algılayıcılarını şirket içi saldırılardan korumak için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ve Active Directory Sertifika Hizmetleri (AD CS) sunucularına yükleyin.
Bu makalede, AD FS veya AD CS sunucularında Kimlik için Defender algılayıcılarını yüklerken gereken adımlar açıklanmaktadır.
Not
AD FS ortamlarında Kimlik için Defender algılayıcısı yalnızca federasyon sunucularında desteklenir ve Web Uygulama Ara Sunucusu (WAP) sunucularında gerekli değildir. AD CS ortamları için algılayıcıyı çevrimdışı olan herhangi bir AD CS sunucusuna yüklemeniz gerekmez.
Önkoşullar
Ad FS veya AD CS sunucularında Kimlik için Defender algılayıcılarını yükleme önkoşulları, etki alanı denetleyicilerine algılayıcı yüklemeyle aynıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.
Ayrıca, AD CS için Kimlik için Defender algılayıcısı yalnızca Sertifika Yetkilisi Rol Hizmeti'ne sahip AD CS sunucularını destekler.
AD FS olayları için Ayrıntılı günlük kaydını yapılandırma
AD FS sunucularında çalışan algılayıcıların ilgili olaylar için denetim düzeyinin Ayrıntılı olarak ayarlanması gerekir. Örneğin, denetim düzeyini Ayrıntılı olarak yapılandırmak için aşağıdaki komutu kullanın:
Set-AdfsProperties -AuditLevel Verbose
Daha fazla bilgi için bkz.
- Gerekli Active Directory Federasyon Hizmetleri (AD FS) (AD FS) olayları
- Active Directory Federasyon Hizmetleri (AD FS) denetimi yapılandırma (AD FS)
- Olaylar ve günlüğe kaydetmeyle ilgili Active Directory Federasyon Hizmetleri (AD FS) sorunlarını giderme
AD FS veritabanı için okuma izinlerini yapılandırma
AD FS sunucularında çalışan algılayıcıların AD FS veritabanına erişimi olması için, yapılandırılan ilgili Dizin Hizmetleri Hesabı için okuma (db_datareader) izinleri vermeniz gerekir.
Birden fazla AD FS sunucunuz varsa, veritabanı izinleri sunucular arasında çoğaltılmadığından bu izni tüm sunucularda verdiğinizden emin olun.
SQL server'ı AdfsConfiguration veritabanında aşağıdaki izinlere sahip Dizin hizmet hesabına izin verecek şekilde yapılandırın:
- Bağlamak
- Oturum aç
- read
- Seçin
Not
AD FS veritabanı yerel AD FS sunucusu yerine ayrılmış bir SQL sunucusunda çalışıyorsa ve Dizin Hizmetleri Hesabı (DSA) olarak grup tarafından yönetilen bir hizmet hesabı (gMSA) kullanıyorsanız, SQL sunucusuna gMSA'nın parolasını almak için gerekli izinleri verdiğinden emin olun.
AD FS veritabanına erişim izni verme
SQL Server Management Studio, TSQL veya PowerShell kullanarak veritabanına erişim izni verin.
Örneğin, Windows İç Veritabanı (WID) veya bir dış SQL sunucusu kullanıyorsanız aşağıda listelenen komutlar yararlı olabilir.
Bu örnek kodlarda:
- [DOMAIN1\mdiSvc01] , çalışma alanının dizin hizmetleri kullanıcısıdır. Bir gMSA ile çalışıyorsanız kullanıcı adının sonuna bir $ yazın. Örneğin: [DOMAIN1\mdiSvc01$]
- AdfsConfigurationV4 bir AD FS veritabanı adı örneğidir ve farklılık gösterebilir
- server=.\pipe\MICROSOFT##WID\tsql\query - WID kullanıyorsanız veritabanının bağlantı dizesi
Algılayıcıya TSQL kullanarak AD FS veritabanına erişim vermek için:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
Algılayıcıya PowerShell kullanarak AD FS veritabanına erişim vermek için:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
AD FS / AD CS sunucuları için olay koleksiyonunu yapılandırma
AD FS / AD CS sunucularıyla çalışıyorsanız, denetimi gerektiği gibi yapılandırdığınızdan emin olun. Daha fazla bilgi için bkz.
AD FS:
AD CS:
AD FS / AD CS sunucularında başarılı dağıtımı doğrulama
Kimlik için Defender algılayıcısının bir AD FS sunucusuna başarıyla dağıtıldığını doğrulamak için:
Azure Gelişmiş Tehdit Koruması algılayıcı hizmetinin çalışıp çalışmadığını denetleyin. Kimlik için Defender algılayıcı ayarlarını kaydettikten sonra hizmetin başlatılması birkaç saniye sürebilir.
Hizmet başlatılmazsa, varsayılan olarak şu konumda bulunan dosyayı gözden geçirin
Microsoft.Tri.sensor-Errors.log
:%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
Herhangi bir uygulamada kullanıcının kimliğini doğrulamak için AD FS veya AD CS kullanın ve kimlik doğrulamasının Kimlik için Defender tarafından gözlemlendiğini doğrulayın.
Örneğin, Tehdit Avcılığı Gelişmiş Avcılık'ı> seçin. Sorgu bölmesinde aşağıdaki sorgulardan birini girin ve çalıştırın:
AD FS için:
IdentityLogonEvents | where Protocol contains 'Adfs'
Sonuçlar bölmesi, ADFS kimlik doğrulamasıyla Oturum Açma LogonType içeren olayların listesini içermelidir
AD CS için:
IdentityDirectoryEvents | where Protocol == "Adcs"
Sonuçlar bölmesi, başarısız ve başarılı sertifika verme olaylarının listesini içermelidir. Kaydı İncele sol bölmesinde ek ayrıntıları görmek için belirli bir satır seçin. Örneğin:
AD FS / AD CS sunucuları için yükleme sonrası adımlar (İsteğe bağlı)
Algılayıcıyı bir AD FS / AD CS sunucusuna yüklemek otomatik olarak en yakın etki alanı denetleyicisini seçer. Seçili etki alanı denetleyicisini denetlemek veya değiştirmek için aşağıdaki adımları kullanın.
Microsoft Defender XDR'de, kimlik için Defender algılayıcılarınızın tümünü görüntülemek için Ayarlar> Id varlıkları>Algılayıcıları'na gidin.
BIR AD FS / AD CS sunucusuna yüklediğiniz algılayıcıyı bulun ve seçin.
Açılan bölmede , Etki Alanı Denetleyicisi (FQDN) alanına çözümleyici etki alanı denetleyicilerinin FQDN'sini girin. FQDN'yi eklemek için + Ekle'yi ve ardından Kaydet'i seçin. Örneğin:
Algılayıcının başlatılması birkaç dakika sürebilir ve bu süre içinde AD FS / AD CS algılayıcı hizmeti durumu durduruldudurumundan çalışmaya geçmelidir.
İlgili içerik
Daha fazla bilgi için bkz.