Отслеживание изменений в конфигурации федерации в Azure AD

При создании федерации локальной среды с помощью Azure AD устанавливается отношение доверия между локальным поставщиком удостоверений и Azure AD.

В связи с этим установленным отношением доверия Azure AD учитывает маркер безопасности, выдаваемый локальным поставщиком удостоверений после проверки подлинности, при предоставлении доступа к ресурсам, защищенным Azure AD.

Поэтому очень важно тщательно отслеживать данное отношение доверия (конфигурацию федерации) и регистрировать все необычные или подозрительные действия.

Для мониторинга отношения доверия рекомендуется настроить оповещения, чтобы получать уведомления при внесении изменений в конфигурацию федерации.

Настройка оповещений для отслеживания отношения доверия

Чтобы настроить оповещения для отслеживания отношения доверия, выполните указанные ниже действия.

  1. Настройте журналы аудита Azure AD для передачи в рабочую область Azure Log Analytics.
  2. Создайте правило генерации оповещений, которое активируется на основе запроса журнала Azure AD.
  3. Добавьте в правило генерации оповещений группу действий, которая получает уведомление при выполнении условия оповещения.

После настройки среды данные обрабатываются описанным ниже образом.

  1. Журналы Azure AD заполняются для каждого действия в клиенте.

  2. Данные журнала поступают в рабочую область Azure Log Analytics.

  3. Фоновое задание из Azure Monitor выполняет запрос к журналу на основе конфигурации правила генерации оповещений из шага настройки (2) выше.

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. Если результат запроса совпадает с логикой оповещения (то есть число результатов больше или равно 1), то срабатывает группа действий. Предположим, что она сработала, поэтому последовательность продолжается шагом 5.

  5. Уведомление отправляется в группу действий, выбранную при настройке оповещения.

Примечание

Помимо настройки оповещений, рекомендуется периодически проверять настроенные домены в клиенте Azure AD и удалять все устаревшие, нераспознаваемые или подозрительные домены.

Следующие шаги