Monitorar alterações na configuração de federação em sua ID do Microsoft Entra
Ao federar seu ambiente local com a ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e a ID do Microsoft Entra.
Devido a essa confiança estabelecida, o Microsoft Entra ID honra o token de segurança emitido pelo provedor de identidade local após a autenticação, para conceder acesso a recursos protegidos pelo Microsoft Entra ID.
Portanto, é fundamental que essa confiança (configuração de federação) seja monitorada de perto e qualquer atividade incomum ou suspeita seja capturada.
Para monitorar a relação de confiança, recomendamos que você configure alertas para ser notificado quando forem feitas alterações na configuração de federação.
Configurar alertas para monitorar a relação de confiança
Siga estas etapas para configurar alertas para monitorar a relação de confiança:
- Configure os logs de auditoria do Microsoft Entra para fluir para um Espaço de Trabalho do Azure Log Analytics.
- Crie uma regra de alerta que seja acionada com base na consulta de log do Microsoft Entra ID.
- Adicione um grupo de ações à regra de alerta que é notificado quando a condição de alerta é atendida.
Depois que o ambiente é configurado, os dados fluem da seguinte maneira:
Os logs do Microsoft Entra são preenchidos de acordo com a atividade no locatário.
As informações de log fluem para o espaço de trabalho do Azure Log Analytics.
Um trabalho em segundo plano do Azure Monitor executa a consulta de log com base na configuração da Regra de Alerta na etapa de configuração (2) acima.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
Se o resultado da consulta corresponder à lógica de alerta (ou seja, o número de resultados for maior ou igual a 1), o grupo de ações será acionado. Vamos supor que ele entrou em ação, então o fluxo continua na etapa 5.
A notificação é enviada para o grupo de ações selecionado durante a configuração do alerta.
Nota
Além de configurar alertas, recomendamos revisar periodicamente os domínios configurados em seu locatário do Microsoft Entra e remover quaisquer domínios obsoletos, não reconhecidos ou suspeitos.