Informe de IP de riesgo (versión preliminar)
Los clientes de Servicios de federación de Active Directory (AD FS) pueden exponer puntos de conexión de autenticación de contraseña en Internet para proporcionar servicios de autenticación para que los usuarios finales tengan acceso a aplicaciones de SaaS, como Microsoft 365.
Es posible que un actor no deseado intente inicios de sesión en el sistema de AD FS para adivinar la contraseña de usuario final y acceder a los recursos de la aplicación. A partir de Windows Server 2012 R2, AD FS proporciona la funcionalidad de bloqueo de cuenta de extranet para evitar este tipo de ataques. Si se encuentra en una versión anterior, se recomienda encarecidamente que actualice el sistema de AD FS a Windows Server 2016.
Además, es posible que una única dirección IP intente varios inicios de sesión en varios usuarios. En estos casos, puede que el número de intentos por usuario esté por debajo del umbral de la protección de bloqueo de cuenta de AD FS.
Microsoft Entra Connect Health ahora proporciona el Informe de IP riesgosa, que detecta esta condición y notifica a los administradores. Estas son las principales ventajas de usar este informe:
- Detecta direcciones IP que superan un umbral de inicios de sesión basada en contraseña erróneos
- Admite inicios de sesión erróneos debidos a una contraseña incorrecta o debidos a un estado de bloqueo de la extranet
- Proporciona notificaciones por correo electrónico para alertar a los administradores con una configuración de correo electrónico personalizable
- Proporciona una configuración de umbrales personalizables ajustados a la directiva de seguridad de una organización
- Proporciona informes descargables para su análisis sin conexión e integración con otros sistemas mediante automatización
Nota:
Para usar este informe, debe asegurarse de que está habilitada la auditoría de AD FS. Para obtener más información, consulte Habilitación de la auditoría para AD FS.
Para acceder a esta versión preliminar, necesita permisos de administrador global o de lector de seguridad.
¿Qué hay en el informe?
Las direcciones IP de cliente correspondientes a actividades de inicio de sesión con errores se agregan mediante los servidores proxy de aplicación web. Cada elemento del informe de direcciones IP de riesgo muestra información agregada sobre las actividades de inicio de sesión de AD FS con errores que han superado el umbral designado.
El informe ofrece la siguiente información:
| Elemento de informe | Descripción |
|---|---|
| Marca de tiempo | La marca de tiempo que se basa en la hora local del centro de administración de Microsoft Entra cuando comienza la ventana de tiempo de detección. Todos los eventos diarios se generan a media noche hora UTC. Los eventos por hora tienen la marca de tiempo redondeada al principio de la hora. Puede encontrar la primera hora de inicio de actividad en "firstAuditTimestamp" en el archivo exportado. |
| Tipo de desencadenador | El tipo de ventana de tiempo de detección. Los tipos de desencadenador de agregación son por hora o por día. Son útiles para diferenciar entre un ataque por fuerza bruta de alta frecuencia y un ataque lento, en el que el número de intentos se distribuye a lo largo del día. |
| Dirección IP | La dirección IP de riesgo individual con actividades de inicio de sesión con contraseña incorrecta o de bloqueo de extranet. Puede ser una dirección IPv4 o IPv6. |
| Número de errores de contraseña incorrecta | El número de errores de contraseña incorrecta que se producen desde la dirección IP durante la ventana de tiempo de detección. Los errores de contraseña incorrecta pueden producirse varias veces con determinados usuarios. Nota: Este recuento no incluye intentos erróneos debido a contraseñas expiradas. |
| Recuento de errores de bloqueo de extranet | El número de errores de bloqueo de extranet que se producen desde la dirección IP durante la ventana de tiempo de detección. Los errores de bloqueo de extranet pueden producirse varias veces con determinados usuarios. Este recuento solo se muestra si el bloqueo de extranet está configurado en AD FS (versiones 2012R2 y posteriores). Nota: Se recomienda encarecidamente habilitar esta característica si se permiten inicios de sesión de extranet mediante contraseñas. |
| Usuarios únicos con intentos | El número de cuentas de usuario únicas con intentos desde la dirección IP durante la ventana de tiempo de detección. Diferencia entre un patrón de ataque de un solo usuario en comparación y un patrón de ataque de múltiples usuarios. |
Por ejemplo, el siguiente elemento de informe indica que durante la ventana de 18 a 19 h del 28 de febrero de 2018, la dirección IP 104.2XX.2XX.9 no tenía ningún error de contraseña incorrecta pero sí tenía 284 errores de bloqueo de extranet. Catorce usuarios únicos resultaron afectados dentro de los criterios. El evento de actividad había superado el umbral horario del informe designado.
Nota:
- En la lista de informes, solo se muestran las actividades que superan el umbral designado.
- Este informe realiza un seguimiento de los últimos 30 días como máximo.
- Este informe de alertas no muestra las direcciones IP de Exchange ni las direcciones IP privadas. En cambio, se incluyen en la lista de exportación.
Direcciones IP del equilibrador de carga de la lista
Es posible que se haya producido un error en el agregado del equilibrador de carga, lo que hace que alcance el umbral de alerta. Si ve direcciones IP del equilibrador de carga, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web. Configure el equilibrador de carga correctamente para que pase la dirección IP de reenvío del cliente.
Descarga del informe de direcciones IP de riesgo
Mediante la funcionalidad Descargar, se puede exportar la lista de direcciones IP de riesgo completa de los últimos 30 días desde el portal de Connect Health. El resultado de la exportación incluirá todas las actividades de inicio de sesión de AD FS con error en cada ventana de tiempo de detección para que pueda personalizar el filtrado después de la exportación. Además de las agregaciones resaltadas en el portal, el resultado de la exportación también muestra más detalles sobre las actividades de inicio de sesión con error por dirección IP:
| Elemento de informe | Descripción |
|---|---|
| firstAuditTimestamp | La primera marca de tiempo en la que se iniciaron las actividades con errores durante la ventana de tiempo de detección. |
| lastAuditTimestamp | La última marca de tiempo en la que terminaron las actividades con errores durante la ventana de tiempo de detección. |
| attemptCountThresholdIsExceeded | La marca indica si las actividades actuales superan el umbral de alerta. |
| isWhitelistedIpAddress | La marca indica si se filtra la dirección IP de las alertas e informes. Las direcciones IP privadas (10.x.x.x, 172.x.x.x y 192.168.x.x) y las direcciones IP de Exchange se filtran y se marcan como True. Si ve intervalos de direcciones IP privadas, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web. |
Configuración de las opciones de notificación
Puede actualizar los contactos de administrador del informe a través de la Configuración de notificaciones. De forma predeterminada, la notificación por correo electrónico de alertas de IP de riesgo está desactivada. Puede habilitar la notificación alternando el botón en Obtener notificaciones por correo electrónico para las direcciones IP que superan el informe de umbral de actividad con errores.
Al igual que la configuración de notificaciones de alertas genéricas en Connect Health, le permite personalizar la lista de destinatarios de notificaciones designadas sobre el informe IP de riesgo desde aquí. También puede emitir notificaciones a todos los administradores de identidad híbrida mientras realiza el cambio.
Configuración de las opciones del umbral
Puede actualizar el umbral de alerta en Configuración del umbral. El umbral del sistema se establece con valores predeterminados, que se muestran en la captura de pantalla siguiente y se describen en la tabla.
La configuración del umbral del informe de IP de riesgo se divide en cuatro categorías.
| Configuración del umbral | Descripción |
|---|---|
| Usuario y contraseña incorrectos y bloqueos de extranet por día | Informa de la actividad y genera una notificación de alerta cuando el número de contraseñas erróneas más el número de bloqueos de extranet supera el umbral, por día. El valor predeterminado es 100. |
| Usuario y contraseña incorrectos y bloqueos de extranet por hora | Informa de la actividad y genera una notificación de alerta cuando el número de contraseñas erróneas más el número de bloqueos de extranet super el umbral, por hora. El valor predeterminado es 50. |
| Bloqueos de extranet por día | Informa de la actividad y genera una notificación de alerta cuando el número de bloqueos de extranet supera el umbral, por día. El valor predeterminado es 50. |
| Bloqueos de extranet por hora | Informa de la actividad y genera una notificación de alerta cuando el número de bloqueos de extranet supera el umbral, por hora. El valor predeterminado es 25. |
Nota
- El cambio del umbral del informe se aplicará una hora después del cambio de valor.
- El cambio del umbral no afectará a los elementos notificados existentes.
- Se recomienda que analice el número de eventos observados en su entorno y ajuste el umbral de forma adecuada.
Preguntas más frecuentes
¿Por qué veo intervalos de direcciones IP privadas en el informe?
Las direcciones IP privadas (10.x.x.x, 172.x.x.x y 192.168.x.x) y las direcciones IP de Exchange se filtran y se marcan como True en la lista de direcciones IP aprobadas. Si ve intervalos de direcciones IP privadas, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web.
¿Por qué veo direcciones IP del equilibrador de carga en el informe?
Si ve direcciones IP del equilibrador de carga, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web. Configure el equilibrador de carga correctamente para que pase la dirección IP de reenvío del cliente.
¿Cómo puedo bloquear la dirección IP?
Debe agregar la dirección IP identificada como malintencionada al firewall o bloquearla en Exchange.
¿Por qué no veo ningún elemento en este informe?
- Las actividades de inicio de sesión con errores no superan los valores del umbral.
- Asegúrese de que no haya ninguna alerta del tipo "Health Service no está actualizado" en la lista de servidores de AD FS. Más información sobre cómo solucionar problemas de esta alerta.
- Las auditorías no están habilitadas en las granjas de servidores de AD FS.
¿Por qué no puedo acceder al informe?
Se requiere el permiso de administrador global o de lector de seguridad. Póngase en contacto con el administrador global para obtener acceso.