Отслеживайте изменения конфигурации федерации в Microsoft Entra ID

Когда вы объединяете локальную среду с Microsoft Entra ID, вы устанавливаете отношение доверия между локальным поставщиком удостоверений и Microsoft Entra ID.

В связи с этим установленным доверием идентификатор Microsoft Entra учитывает маркер безопасности, выданный локальным поставщиком удостоверений после проверки подлинности, чтобы предоставить доступ к ресурсам, защищенным идентификатором Microsoft Entra.

Поэтому крайне важно, чтобы эта конфигурация доверия (конфигурация федерации) внимательно отслеживалась, и все необычные или подозрительные действия фиксируются.

Чтобы отслеживать связь доверия, рекомендуется настроить оповещения для уведомления при внесении изменений в конфигурацию федерации.

Настройка оповещений для мониторинга связи доверия

Выполните следующие действия, чтобы настроить оповещения для мониторинга отношений доверия:

1. Настройте журналы аудита Microsoft Entra для передачи в рабочую область Azure Log Analytics.
2. создайте правило оповещения, которое срабатывает на основе запроса в журнале Microsoft Entra ID.
3. Добавьте группу действий в правило оповещения, чтобы получать уведомления при выполнении условий тревоги.

После настройки среды данные перемещаются следующим образом:

1. Журналы Microsoft Entra заполняются в зависимости от активности арендатора.

2. Сведения о журнале передаются в рабочую область Azure Log Analytics.

3. Фоновое задание из Azure Monitor выполняет запрос журнала на основе конфигурации правила генерации оповещений на шаге конфигурации (2) выше.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Если результат запроса соответствует логике генерации оповещений (то есть число результатов больше или равно 1), то группа действий запускается. Предположим, что это сработало, так что поток продолжается с шага 5.

5. Уведомление отправляется в группу действий, выбранную при настройке оповещения.

Заметка

Помимо настройки оповещений, мы рекомендуем периодически просматривать настроенные домены в клиенте Microsoft Entra и удалять устаревшие, нераспознанные или подозрительные домены.

Дальнейшие действия

• интеграция журналов Microsoft Entra с журналами Azure Monitor
• Создавайте, просматривайте и управляйте оповещениями журналов с помощью Azure Monitor
• Управление доверием AD FS с помощью Microsoft Entra ID и Microsoft Entra Connect
• Лучшие практики по защите служб федерации Active Directory