AD FS, AD CS ve Microsoft Entra Connect için algılayıcıları yapılandırma

Active Directory Federasyon Hizmetleri (AD FS) (AD FS), Active Directory Sertifika Hizmetleri (AD CS) ve Microsoft Entra Connect sunucularına Kimlik için Defender algılayıcılarını yükleyerek şirket içi ve karma saldırılardan korunmasına yardımcı olun. Bu makalede yükleme adımları açıklanmaktadır.

Dikkat edilmesi gerekenler şunlardır:

• AD FS ortamlarında Kimlik için Defender algılayıcıları yalnızca federasyon sunucularında desteklenir. Web Uygulama Ara Sunucusu (WAP) sunucularında gerekli değildir.
• AD CS ortamlarında, çevrimdışı olan herhangi bir AD CS sunucusuna algılayıcı yüklemeniz gerekmez.
• Microsoft Entra Connect sunucuları için algılayıcıları hem etkin hem de hazırlama sunucularına yüklemeniz gerekir.

Önkoşullar

AD FS, AD CS veya Microsoft Entra Connect sunucularına Kimlik algılayıcıları için Defender yükleme önkoşulları, etki alanı denetleyicilerine algılayıcı yüklemeyle aynıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.

AD FS, AD CS veya Microsoft Entra Connect sunucusuna yüklenmiş bir algılayıcı, etki alanına bağlanmak için yerel hizmet hesabını kullanamaz. Bunun yerine, bir Dizin Hizmeti Hesabı yapılandırmanız gerekir.

Ayrıca, AD CS için Kimlik için Defender algılayıcısı yalnızca Sertifika Yetkilisi Rol Hizmeti'ne sahip AD CS sunucularını destekler.

AD FS olayları için Ayrıntılı günlük kaydını yapılandırma

AD FS sunucularında çalışan algılayıcıların ilgili olaylar için denetim düzeyinin Ayrıntılı olarak ayarlanması gerekir. Örneğin, denetim düzeyini Ayrıntılı olarak yapılandırmak için aşağıdaki komutu kullanın:

Set-AdfsProperties -AuditLevel Verbose

Daha fazla bilgi için bkz.

• Gerekli AD FS olayları
• AD FS'de denetimi yapılandırma
• Olaylar ve günlüğe kaydetmeyle ilgili Active Directory Federasyon Hizmetleri (AD FS) sorunlarını giderme

AD FS veritabanı için okuma izinlerini yapılandırma

AD FS sunucularında çalışan algılayıcıların AD FS veritabanına erişimi olması için ilgili Dizin Hizmeti Hesabı için okuma (db_datareader) izinleri vermeniz gerekir.

Birden fazla AD FS sunucunuz varsa, tüm sunucularda bu izni verdiğinden emin olun. Veritabanı izinleri sunucular arasında çoğaltılamaz.

SQL sunucusunu AdfsConfiguration veritabanında aşağıdaki izinlere sahip Dizin Hizmeti Hesabına izin verecek şekilde yapılandırın:

• bağlamak
• Oturum aç
• read
• seçmek

Not

AD FS veritabanı yerel AD FS sunucusu yerine ayrılmış bir SQL sunucusunda çalışıyorsa ve Dizin Hizmeti Hesabı olarak bir grup Yönetilen Hizmet Hesabı (gMSA) kullanıyorsanız, SQL sunucusuna gMSA'nın parolasını almak için gerekli izinleri verdiğinden emin olun.

AD FS veritabanına erişim izni verme

SQL Server Management Studio, Transact-SQL (T-SQL) veya PowerShell kullanarak AD FS veritabanına erişim izni verin.

Örneğin, Windows İç Veritabanı (WID) veya bir dış SQL sunucusu kullanıyorsanız aşağıdaki komutlar yararlı olabilir.

Bu örnek kodlarda:

• [DOMAIN1\mdiSvc01] , çalışma alanının dizin hizmetleri kullanıcısıdır. gMSA ile çalışıyorsanız kullanıcı adının sonuna ekleme $ . Örneğin: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 bir AD FS veritabanı adı örneğidir ve farklılık gösterebilir.
• server=\.\pipe\MICROSOFT##WID\tsql\query, WID kullanıyorsanız veritabanına bağlantı dizesi.

İpucu

bağlantı dizesi bilmiyorsanız Windows Server belgelerindeki adımları izleyin.

Algılayıcıya T-SQL kullanarak AD FS veritabanına erişim vermek için:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Algılayıcıya PowerShell kullanarak AD FS veritabanına erişim vermek için:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Olay koleksiyonunu yapılandırma

AD FS, AD CS veya Microsoft Entra Connect sunucularıyla çalışıyorsanız, denetimi gerektiği gibi yapılandırdığınızdan emin olun. Daha fazla bilgi için bkz.

• AD FS:

  • Gerekli AD FS olayları
  • AD FS'de denetimi yapılandırma

• AD CS:

  • Gerekli AD CS olayları
  • AD CS'de denetimi yapılandırma

• Microsoft Entra Connect:

  • Gerekli Microsoft Entra Connect olayları
  • Microsoft Entra Connect'te denetimi yapılandırma

Başarılı dağıtımı doğrulama

Ad FS veya AD CS sunucusunda Kimlik için Defender algılayıcısını başarıyla dağıttığını doğrulamak için:

1. Azure Gelişmiş Tehdit Koruması algılayıcı hizmetinin çalışıp çalışmadığını denetleyin. Kimlik için Defender algılayıcı ayarlarını kaydettikten sonra hizmetin başlatılması birkaç saniye sürebilir.

2. Hizmet başlatılmazsa, konumunda varsayılan olarak %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logsbulunan dosyayı gözden geçirinMicrosoft.Tri.sensor-Errors.log.

3. Herhangi bir uygulamada bir kullanıcının kimliğini doğrulamak için AD FS veya AD CS kullanın ve kimlik doğrulamasını Kimlik için Defender'ın gözlemlediğini doğrulayın.

   Örneğin, Tehdit Avcılığı Gelişmiş Avcılık'ı> seçin. Sorgu bölmesinde, aşağıdaki sorgulardan birini girin ve çalıştırın:

   • AD FS için:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     Sonuçlar bölmesi, ADFS kimlik doğrulamasıyla Oturum Açma LogonType değerine sahip olayların listesini içermelidir.

   • AD CS için:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     Sonuçlar bölmesinde başarısız ve başarılı sertifika verme olaylarının listesi gösterilir. Kaydı incele bölmesinde ek ayrıntıları görmek için belirli bir satır seçin.

     

Yükleme sonrası adımlar (isteğe bağlı)

AD FS, AD CS veya Microsoft Entra Connect sunucusuna algılayıcı yüklemesi sırasında, en yakın etki alanı denetleyicisi otomatik olarak seçilir. Seçili etki alanı denetleyicisini denetlemek veya değiştirmek için aşağıdaki adımları kullanın:

1. Microsoft Defender XDR'de, Tüm Kimlikler>için Defender algılayıcılarınızı görüntülemek için Ayarlar>Kimlik Algılayıcıları'na gidin.

2. Sunucuya yüklediğiniz algılayıcıyı bulun ve seçin.

3. Açılan bölmedeki Etki alanı denetleyicisi (FQDN) kutusuna çözümleyici etki alanı denetleyicilerinin tam etki alanı adını (FQDN) girin. FQDN'yi eklemek için + Ekle'yi ve ardından Kaydet'i seçin.

   

Algılayıcının başlatılması birkaç dakika sürebilir. Tamamlandığında AD FS, AD CS veya Microsoft Entra Connect algılayıcısının hizmet durumu durduruldu durumundan çalıştırmaya dönüşür.

İlgili içerik

Daha fazla bilgi için bkz.

• Kimlik için Microsoft Defender önkoşulları
• Kimlik için Microsoft Defender algılayıcısını yükleme