Microsoft Entra Id'nizde federasyon yapılandırmasındaki değişiklikleri izleme
Şirket içi ortamınızı Microsoft Entra Id ile birleştirirken, şirket içi kimlik sağlayıcısı ile Microsoft Entra Kimliği arasında bir güven ilişkisi kurarsınız.
Bu yerleşik güven nedeniyle, Microsoft Entra Id kimlik doğrulaması sonrasında şirket içi kimlik sağlayıcısı tarafından verilen güvenlik belirtecini kabul eder ve Microsoft Entra ID tarafından korunan kaynaklara erişim izni verir.
Bu nedenle, bu güvenin (federasyon yapılandırması) yakından izlenmesi ve olağan dışı veya şüpheli etkinliklerin yakalanması kritik önem taşır.
Güven ilişkisini izlemek için, federasyon yapılandırmasında değişiklikler yapıldığında bildirim almak üzere uyarılar ayarlamanızı öneririz.
Güven ilişkisini izlemek için uyarılar ayarlama
Güven ilişkisini izlemek üzere uyarılar ayarlamak için şu adımları izleyin:
- Microsoft Entra denetim günlüklerini bir Azure Log Analytics Çalışma Alanına akışla bağlanacak şekilde yapılandırın.
- Microsoft Entra Id günlük sorgusuna göre tetikleyen bir uyarı kuralı oluşturun.
- Uyarı koşulu karşılandığında bildirim alan uyarı kuralına bir eylem grubu ekleyin.
Ortam yapılandırıldıktan sonra veriler aşağıdaki gibi akar:
Microsoft Entra günlükleri kiracıdaki etkinlik başına doldurulur.
Günlük bilgileri Azure Log Analytics çalışma alanına akar.
Azure İzleyici'den bir arka plan işi, yukarıdaki yapılandırma adımında (2) Uyarı Kuralı yapılandırmasına göre günlük sorgusunu yürütür.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
Sorgunun sonucu uyarı mantığıyla eşleşiyorsa (sonuç sayısı 1'den büyük veya buna eşitse) eylem grubu devreye giriyor. Akışın 5. adımda devam etmesi için devreye geldiğini varsayalım.
Uyarı yapılandırılırken seçilen eylem grubuna bildirim gönderilir.
Dekont
Uyarıları ayarlamaya ek olarak, Microsoft Entra kiracınızdaki yapılandırılmış etki alanlarını düzenli aralıklarla gözden geçirmenizi ve eski, tanınmayan veya şüpheli etki alanlarını kaldırmanızı öneririz.
Sonraki adımlar
- Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme
- Azure İzleyici'yi kullanarak günlük uyarıları oluşturma, görüntüleme ve yönetme
- Microsoft Entra Bağlan kullanarak Microsoft Entra ID ile AD FS güvenini yönetme
- Active Directory Federasyon Hizmetleri (AD FS) güvenliğini sağlamaya yönelik en iyi yöntemler