Libro del informe de direcciones IP de riesgo

  • Artículo

Nota:

Para usar el libro del informe de direcciones IP de riesgo, debe habilitar "ADFSSignInLogs" en la hoja "Configuración de diagnóstico". Se trata de un flujo de Log Analytics con inicios de sesión de AD FS que se envía a Microsoft Entra ID mediante Connect Health. Para obtener más información sobre los inicios de sesión de AD FS en Microsoft Entra ID, consulte nuestra documentación.

Los clientes de AD FS pueden exponer puntos de conexión de autenticación de contraseña en Internet para proporcionar servicios de autenticación para que los usuarios finales tengan acceso a aplicaciones de SaaS, como Microsoft 365. En este caso, es posible que un actor no deseado intente inicios de sesión en el sistema de AD FS para adivinar la contraseña de usuario final y acceder a los recursos de la aplicación. AD FS proporciona la funcionalidad de bloqueo de cuenta de extranet para evitar estos tipos de ataques desde AD FS en Windows Server 2012 R2. Si se encuentra en una versión anterior, se recomienda que actualice el sistema de AD FS a Windows Server 2016.

Además, es posible que una única dirección IP intente varios inicios de sesión en varios usuarios. En estos casos, puede que el número de intentos por usuario esté por debajo del umbral de la protección de bloqueo de cuenta de AD FS. Microsoft Entra Connect Health ahora proporciona el "informe de direcciones IP de riesgo", que detecta esta condición y notifica a los administradores. Estas son las ventajas principales de este informe:

  • Detección de direcciones IP que superan un umbral de inicios de sesión basada en contraseña erróneos
  • Admite inicios de sesión con error debidos a una contraseña incorrecta o debidos a un estado de bloqueo de la extranet
  • Admite la habilitación de alertas mediante alertas de Azure
  • Configuración de umbrales personalizables ajustados a la directiva de seguridad de una organización
  • Consultas personalizables y visualizaciones expandidas para un análisis más profundo
  • Funcionalidad ampliada frente al informe anterior de direcciones IP de riesgo, que quedará en desuso después del 24 de enero de 2022.

Requisitos

  1. Connect Health para AD FS instalado y actualizado con el agente más reciente.
  2. Un área de trabajo de Log Analytics con el flujo "ADFSSignInLogs" habilitado.
  3. Permisos para usar los libros Microsoft Entra ID Monitor. Para usar los libros, necesita:
  • Un inquilino de Microsoft Entra con una licencia P1 o P2 de Microsoft Entra ID.
  • Acceso a un área de trabajo de Log Analytics y a los siguientes roles en Microsoft Entra ID (si accede a Log Analytics a través del centro de administración de Microsoft Entra): Administrador de seguridad, Lector de seguridad, Lector de informes, Administrador global

Contenido del informe

El libro del informe de direcciones IP de riesgo se basa en los datos del flujo ADFSSignInLogs y puede visualizar y analizar rápidamente direcciones IP de riesgo. Los parámetros se pueden configurar y personalizar para los recuentos de umbrales. El libro también se puede configurar en función de las consultas, y cada consulta se puede actualizar y modificar según las necesidades de la organización.

El libro de direcciones IP de riesgo analiza los datos de ADFSSignInLogs para ayudarle a detectar ataques por fuerza bruta para la obtención de contraseñas o ataques de difusión de contraseña. El libro tiene dos partes. La primera parte "Análisis de IP de riesgo" identifica las direcciones IP de riesgo en función de los umbrales de error designados y la duración del período de detección. La segunda parte proporciona los detalles de inicio de sesión y el recuento de errores de las IP seleccionadas.

Screenshot that a view of the Workbook with locations.

  • El libro muestra la visualización de un mapa y un desglose por regiones para un análisis rápido de la ubicación de las IP de riesgo.
  • La tabla de detalles de las IP de riesgo se asemeja a la funcionalidad del informe anterior de direcciones IP de riesgo. Para obtener más información sobre los campos de la tabla, consulte la siguiente sección.
  • La escala de tiempo de las IP de riesgo muestra una vista rápida de las anomalías o los picos en las solicitudes en una vista de escala de tiempo.
  • Los detalles de inicio de sesión y el recuento de errores por IP permiten expandir la tabla de detalles con una vista filtrada detallada por IP o por usuario.

Cada elemento de la tabla del informe de direcciones IP de riesgo muestra información agregada sobre las actividades de inicio de sesión de AD FS con errores que sobrepasan el umbral designado. El informe proporciona la siguiente información: Screenshot that shows a Risky IP report with column headers highlighted.

Elemento de informe Descripción
Hora de inicio del período de detección Muestra la marca de tiempo que se basa en la hora local del centro de administración de Microsoft Entra cuando comienza la ventana de tiempo de detección.
Todos los eventos diarios se generan a media noche hora UTC.
Los eventos por hora tienen la marca de tiempo redondeada al principio de la hora. Puede encontrar la primera hora de inicio de actividad en "firstAuditTimestamp" en el archivo exportado.
Duración del período de detección Muestra el tipo de ventana de tiempo de detección. Los tipos de desencadenador de agregación son por hora o por día. Esto resulta útil para detecciones de ataques por fuerza bruta de alta frecuencia frente a un ataque lento en el que el número de intentos se distribuye a lo largo del día.
Dirección IP La dirección IP de riesgo individual con actividades de inicio de sesión con contraseña incorrecta o de bloqueo de extranet. Podría tratarse de una dirección IPv4 o IPv6.
Número de errores de contraseña incorrecta (50126) El número de errores de contraseña incorrecta producidos desde la dirección IP durante la ventana de tiempo de detección. Los errores de contraseña incorrecta pueden producirse varias veces con determinados usuarios. Tenga en cuenta que no se incluyen los intentos con error debidos a contraseñas que han expirado.
Número de errores de bloqueo de extranet (300030) El número de errores de bloqueo de extranet que se han producido desde la dirección IP durante la ventana de tiempo de detección. Los errores de bloqueo de extranet pueden producirse varias veces con determinados usuarios. Esto solo es visible si se configura el bloqueo de extranet de AD FS (versiones 2012R2 o superior). Nota: Se recomienda activar esta característica si se permiten inicios de sesión de extranet mediante contraseñas.
Usuarios únicos con intentos El número de cuentas de usuario únicas con intentos desde la dirección IP durante la ventana de tiempo de detección. Esto proporciona un mecanismo para diferenciar un patrón de ataque de un solo usuario en comparación con un patrón de ataque de varios usuarios.

Filtre el informe por dirección IP o nombre de usuario para ver una vista ampliada de los detalles de los inicios de sesión para cada evento de IP de riesgo.

Acceso al libro

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para acceder al libro:

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Identidad>Administración híbrida> *Supervisión y mantenimiento>Workbooks.
  3. Seleccione el libro del informe de direcciones IP de riesgo.

Direcciones IP del equilibrador de carga de la lista

La instancia agregada de Load Balancer no pudo iniciar la sesión de las actividades y alcanzó el umbral de alerta. Si ve direcciones IP del equilibrador de carga, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web. Configure el equilibrador de carga correctamente para que pase la dirección IP de reenvío del cliente.

Configuración de las opciones del umbral

El umbral de alerta se puede actualizar mediante las Opciones del umbral. De forma inicial, el sistema tiene un umbral establecido de forma predeterminada. La configuración del umbral se puede establecer por horas o días de detección, y se puede personalizar con los filtros.

Threshold Filters

Elemento del umbral Descripción
Umbral de errores de bloqueo de extranet y de contraseñas incorrectas Opción del umbral para informar de la actividad y desencadenar la notificación de alertas cuando el número de contraseñas erróneas más el número de bloqueos de extranet se ha superado por hora o día.
Umbral de errores de bloqueo de extranet Opción del umbral para informar de la actividad y desencadenar la notificación de alertas cuando el número de bloqueos de extranet se ha superado por hora o día. El valor predeterminado es 50.

La duración del período de detección por hora o día se puede configurar mediante el botón de alternancia situado encima de los filtros para personalizar los umbrales.

Configure las alertas de notificación utilizando Azure Monitor Alerts a través del centro de administración de Microsoft Entra:

Azure Alerts Rule

  1. En el centro de administración de Microsoft Entra, busque "Monitor" en la barra de búsqueda para navegar hasta el servicio "Monitor" de Azure. En el menú de la izquierda, seleccione "Alertas" y, luego, "+ Nueva regla de alertas".

  2. En la hoja "Crear regla de alertas":

    • Ámbito: haga clic en "Seleccionar recurso" y seleccione el área de trabajo de Log Analytics que contiene el flujo ADFSSignInLogs que quiere supervisar.
    • Condición, haga clic en "Agregar condición". Seleccione "Registro" en "Tipo de señal" y "Log Analytics" en "Supervisar servicio". Elija "Custom log search" (Búsqueda de registros personalizada).

  3. Configure la condición para desencadenar la alerta. Para asegurarse de que las notificaciones por correo electrónico coinciden con el informe de direcciones IP de riesgo de Connect Health, siga las instrucciones que se indican a continuación.

    • Copie y pegue la siguiente consulta y especifique los umbrales de recuento de errores. Esta consulta genera el número de direcciones IP que superan los umbrales de error designados.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

En el caso de un umbral combinado:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Nota:

La lógica de alerta significa que la alerta se desencadenará si al menos una dirección IP del recuento de errores de bloqueo de extranet o del recuento combinado de errores de contraseña incorrecta y bloqueo de extranet supera los umbrales designados. Puede seleccionar la frecuencia de evaluación de la consulta para detectar direcciones IP de riesgo.

Preguntas más frecuentes

¿Por qué veo direcciones IP del equilibrador de carga en el informe?
Si ve direcciones IP del equilibrador de carga, es muy probable que el equilibrador de carga externo no esté enviando la dirección IP del cliente cuando pasa la solicitud al servidor proxy de la aplicación web. Configure el equilibrador de carga correctamente para que pase la dirección IP de reenvío del cliente.

¿Qué hacer para bloquear la dirección IP?
Debe agregar la dirección IP identificada como malintencionada al firewall o bloquearla en Exchange.

¿Por qué no veo ningún elemento de este informe?

  • El flujo de Log Analytics "ADFSSignInLogs" no está habilitado en la configuración de diagnóstico.
  • Las actividades de inicio de sesión con errores no superan los valores del umbral.
  • Asegúrese de que no haya ninguna alerta del tipo "Health Service no está actualizado" en la lista de servidores de AD FS. Obtenga más información sobre cómo solucionar problemas de esta alerta.
  • Las auditorías no están habilitadas en las granjas de servidores de AD FS.

Pasos siguientes