Supervisión de los cambios en la configuración de federación en Microsoft Entra ID

Al federar un entorno local con Microsoft Entra ID, establece una relación de confianza entre el proveedor de identidades local y Microsoft Entra ID.

Debido a esta confianza establecida, Microsoft Entra ID respeta el token de seguridad emitido por el proveedor de identidades local después de la autenticación, para conceder acceso a los recursos protegidos por Microsoft Entra ID.

Por lo tanto, es fundamental que esta confianza (configuración de federación) se supervise estrechamente y se capture cualquier actividad inusual o sospechosa.

Para supervisar la relación de confianza, se recomienda configurar alertas para recibir notificaciones cuando se realicen cambios en la configuración de federación.

Configuración de alertas para supervisar la relación de confianza

Siga estos pasos para configurar alertas para supervisar la relación de confianza:

  1. Configure los registros de auditoría de Microsoft Entra ID para que fluyan a un área de trabajo de Azure Log Analytics.
  2. Cree una regla de alertas que se desencadena en función de la consulta de registro de Microsoft Entra ID.
  3. Agregue un grupo de acciones a la regla de alertas para que reciba una notificación cuando se cumpla la condición de alerta.

Una vez configurado el entorno, los datos fluyen de la siguiente manera:

  1. Los registros de Microsoft Entra se rellenan según la actividad del inquilino.

  2. La información de registro fluye al área de trabajo de Azure Log Analytics.

  3. Un trabajo en segundo plano de Azure Monitor ejecuta la consulta de registro en función de la configuración de la regla de alertas del paso de configuración (2) anterior.

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. Si el resultado de la consulta coincide con la lógica de alerta (es decir, el número de resultados es mayor que o igual a 1), se inicia el grupo de acciones. Supongamos que se inició, por lo que el flujo continúa en el paso 5.

  5. La notificación se envía al grupo de acciones seleccionado al configurar la alerta.

Nota:

Además de configurar alertas, se recomienda revisar periódicamente los dominios configurados en el inquilino de Microsoft Entra y quitar los dominios obsoletos, desconocidos o sospechosos.

Pasos siguientes