Report IP rischioso

  • Articolo

I clienti di Active Directory Federation Services (AD FS) possono esporre endpoint di autenticazione delle password a Internet per fornire servizi di autenticazione per gli utenti finali per accedere ad applicazioni SaaS come Microsoft 365.

È possibile che un attore malintenzionato tenti di accedere al sistema AD FS per indovinare la password di un utente finale e ottenere l'accesso alle risorse dell'applicazione. A partire da Windows Server 2012 R2, AD FS fornisce la funzionalità di blocco dell'account Extranet per impedire questi tipi di attacchi. Se si usa una versione precedente, è consigliabile aggiornare il sistema AD FS a Windows Server 2016.

Inoltre, è possibile che un singolo indirizzo IP tenti più account di accesso rispetto a più utenti. In questi casi, il numero di tentativi per utente potrebbe essere inferiore alla soglia per la protezione del blocco dell'account in AD FS.

Microsoft Entra Connessione Health fornisce ora il report IP rischioso, che rileva questa condizione e notifica agli amministratori. Ecco i vantaggi principali dell'uso di questo report:

  • Rileva gli indirizzi IP che superano una soglia di accessi basati su password non riusciti
  • Supporta gli account di accesso non riusciti risultanti dallo stato di blocco della password o della extranet non valido
  • Fornisce notifiche tramite posta elettronica agli amministratori degli avvisi, con impostazioni di posta elettronica personalizzabili
  • Fornisce impostazioni di soglia personalizzabili che corrispondono ai criteri di sicurezza di un'organizzazione
  • Fornisce report scaricabili per l'analisi offline e l'integrazione con altri sistemi tramite automazione

Nota

Per usare questo report, è necessario verificare che il servizio di controllo AD FS sia abilitato. Per altre informazioni, vedere Abilitare il controllo per AD FS.

Per accedere a questa versione di anteprima, sono necessarie le autorizzazioni global Amministrazione istrator o con autorizzazioni di lettura per la sicurezza.  

Che cos'è nel report?

Gli indirizzi IP client dell'attività di accesso non riusciti vengono aggregati tramite i server proxy applicazione Web. Ogni elemento nel report IP rischioso mostra informazioni aggregate sulle attività di accesso ad AD FS non riuscite che hanno superato la soglia designata.

Il rapporto fornisce le informazioni seguenti:

Screenshot che mostra un report IP rischioso con intestazioni di colonna evidenziate.

Elemento del report Descrizione
Timestamp Timestamp basato sull'ora locale dell'interfaccia di amministrazione di Microsoft Entra all'avvio dell'intervallo di tempo di rilevamento.
Tutti gli eventi giornalieri vengono generati a mezzanotte UTC.
Gli eventi orari hanno il timestamp arrotondato all'inizio dell'ora. È possibile trovare la prima ora di inizio dell'attività da "firstAuditTimestamp" nel file esportato.
Tipo di trigger Tipo di intervallo di tempo di rilevamento. I tipi di trigger di aggregazione sono su base oraria o giornaliera. Sono utili per differenziare tra un attacco di forza bruta ad alta frequenza e un attacco lento, in cui il numero di tentativi viene distribuito durante il giorno.
Indirizzo IP Il singolo indirizzo IP rischioso con attività di accesso con password errata o blocco Extranet. Può essere un indirizzo IPv4 o IPv6.
Numero errori di password errata Numero di errori di password non valido che si verificano dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Gli errori di password non valida possono verificarsi più volte per determinati utenti. Nota: questo conteggio non include tentativi non riusciti risultanti da password scadute.
Extranet Lockout Error Count Numero di errori di blocco extranet che si verificano dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Gli errori di blocco extranet possono verificarsi più volte per determinati utenti. Questo conteggio viene visualizzato solo se il blocco Extranet è configurato in AD FS (versioni 2012R2 e successive). Nota: è consigliabile abilitare questa funzionalità se si consentono account di accesso Extranet che usano password.
Tentativi con utenti univoci Numero di account utente univoci che vengono tentati dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Distingue tra un modello di attacco singolo utente e un modello di attacco multiutente.

Ad esempio, l'elemento del report seguente indica che durante la finestra dalle 16 alle 17 del 28 febbraio 2018, l'indirizzo IP 104.2XX.2XX.9 non ha avuto errori di password non valido e 284 errori di blocco extranet. Quattordici utenti univoci sono stati interessati entro i criteri. L'evento di attività ha superato la soglia oraria del report designato.

Screenshot che mostra un esempio di voce del report IP rischioso.

Nota

  • Nell'elenco dei report vengono visualizzate solo le attività che superano la soglia designata.
  • Questo report tiene traccia degli ultimi 30 giorni al massimo.
  • Questo report di avviso non mostra gli indirizzi IP di Exchange o gli indirizzi IP privati. che sono però inclusi nell'elenco esportato.

Screenshot che mostra il report IP rischioso con i pulsanti

Indirizzi IP del servizio di bilanciamento del carico nell'elenco

È possibile che l'aggregazione del servizio di bilanciamento del carico non sia riuscita, causando l'arresto della soglia di avviso. Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP client quando passa la richiesta al server proxy applicazione Web. Configurare correttamente il servizio di bilanciamento del carico per passare l'indirizzo IP del client.

Scaricare il report IP rischioso

Usando la funzionalità Scarica è possibile esportare l'intero elenco degli indirizzi IP rischiosi degli ultimi 30 giorni dal portale di Connect Health. Il risultato dell'esportazione includerà tutte le attività di accesso ad AD FS non riuscite in ogni intervallo di tempo di rilevamento, consentendo così di personalizzare i filtri dopo l'esportazione. Oltre alle aggregazioni evidenziate nel portale, il risultato dell'esportazione mostra anche altri dettagli sulle attività di accesso non riuscite in base all'indirizzo IP:

Elemento del report Descrizione
firstAuditTimestamp Il primo timestamp quando le attività non riuscite sono iniziate durante l'intervallo di tempo di rilevamento.
lastAuditTimestamp Timestamp dell'ultimo timestamp in cui le attività non riuscite sono terminate durante l'intervallo di tempo di rilevamento.
attemptCountThresholdIsExceeded Flag che indica se le attività correnti stanno superando la soglia di avviso.
isWhitelistedIpAddress Flag che indica se l'indirizzo IP è escluso da avvisi e report. Gli indirizzi IP privati (10.x.x.x, 172.x.x.x e 192.168.x.x) e gli indirizzi IP di Exchange vengono filtrati e contrassegnati come True. Se vengono visualizzati intervalli di indirizzi IP privati, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP client quando passa la richiesta al server proxy applicazione Web.

Configurare le impostazioni di notifica

È possibile aggiornare i contatti dell'amministratore del report tramite il Impostazioni di notifica. Per impostazione predefinita, la notifica di posta elettronica di avviso IP rischiosa è disattivata . È possibile abilitare la notifica attivando o disattivando il pulsante in Ottieni notifiche tramite posta elettronica per gli indirizzi IP che superano il report soglia di attività non riuscita.

Come le impostazioni di notifica degli avvisi generici in Connessione Integrità, consente di personalizzare l'elenco dei destinatari di notifica designati sul report IP rischioso da qui. È anche possibile inviare una notifica a tutti gli amministratori delle identità ibride durante l'esecuzione della modifica.

Configurare le impostazioni di soglia

È possibile aggiornare la soglia di avviso in Soglia Impostazioni. La soglia di sistema è impostata con i valori predefiniti, visualizzati nello screenshot seguente e descritti nella tabella.

Le impostazioni di soglia del report IP di rischio sono separate in quattro categorie.

Screenshot di Microsoft Entra Connessione Health Portal che mostra le quattro categorie di impostazioni di soglia e i relativi valori predefiniti.

Impostazione soglia Descrizione
Nome utente/password non validi e blocco Extranet - Giorno Segnala l'attività e attiva una notifica di avviso quando il conteggio della password non valida e il conteggio del blocco Extranet supera la soglia, al giorno. Il valore predefinito è 100.
Nome utente/password non validi e blocco Extranet - Ora Segnala l'attività e attiva una notifica di avviso quando il conteggio della password non valida e il conteggio del blocco Extranet supera la soglia, all'ora. Il valore predefinito è 50.
Blocco Extranet - Giorno Segnala l'attività e attiva una notifica di avviso quando il conteggio del blocco Extranet supera la soglia, al giorno. Il valore predefinito è 50.
Blocco Extranet - Ora Segnala l'attività e attiva una notifica di avviso quando il conteggio del blocco Extranet supera la soglia, all'ora. Il valore predefinito è 25.

Nota

  • La modifica della soglia del report verrà applicata un'ora dopo la modifica dell'impostazione.
  • La modifica della soglia non influirà sugli elementi segnalati esistenti.
  • È consigliabile analizzare il numero di eventi segnalati all'interno dell'ambiente e regolare la soglia in modo appropriato.

Domande frequenti

Perché vengono visualizzati intervalli di indirizzi IP privati nel report?

Gli indirizzi IP privati (10.x.x.x, 172.x.x.x e 192.168.x.x) e gli indirizzi IP di Exchange vengono filtrati e contrassegnati come True nell'elenco di indirizzi IP approvati. Se vengono visualizzati intervalli di indirizzi IP privati, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP client quando passa la richiesta al server proxy applicazione Web.

Perché vengono visualizzati gli indirizzi IP del servizio di bilanciamento del carico nel report?

Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP client quando passa la richiesta al server proxy applicazione Web. Configurare correttamente il servizio di bilanciamento del carico per passare l'indirizzo IP del client.

Come è possibile bloccare l'indirizzo IP?

È necessario aggiungere l'indirizzo IP dannoso identificato al firewall o bloccarlo in Exchange.

Perché non è possibile visualizzare elementi in questo report?

  • Le attività di accesso non riuscite non superano le impostazioni di soglia.
  • Assicurarsi che non sia attivo alcun avviso "Servizio integrità non aggiornato" nell'elenco dei server AD FS. Vedere altre informazioni su come risolvere i problemi relativi a questo avviso.
  • I controlli non sono abilitati nelle farm AD FS.

Perché non è possibile accedere al report?

È necessario disporre delle autorizzazioni global Amministrazione istrator o con autorizzazioni di lettura per la sicurezza. Per l'accesso, contattare il Amministrazione istrator globale.

Passaggi successivi