Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Aby użyć skoroszytu raportu ryzykownych adresów IP, należy włączyć opcję "ADFSSignInLogs" w panelu Ustawienia diagnostyczne. Jest to strumień usługi Log Analytics z logowaniami usług AD FS wysyłanymi do usługi Microsoft Entra ID za pośrednictwem programu Connect Health. Aby dowiedzieć się więcej na temat logowania usług AD FS w usłudze Microsoft Entra ID, zapoznaj się z naszą dokumentacją tutaj.
Klienci usług AD FS mogą uwidaczniać punkty końcowe uwierzytelniania haseł w Internecie w celu zapewnienia użytkownikom końcowym usług uwierzytelniania w celu uzyskania dostępu do aplikacji SaaS, takich jak Microsoft 365. W takim przypadku istnieje możliwość, że zły aktor próbuje zalogować się do systemu usług AD FS, aby odgadnąć hasło użytkownika końcowego i uzyskać dostęp do zasobów aplikacji. Usługi AD FS zapewniają funkcję blokady konta na ekstranecie w celu zapobieżenia tego rodzaju atakom już od wersji 2012 R2 systemu Windows Server. Jeśli korzystasz z niższej wersji, zdecydowanie zalecamy uaktualnienie systemu AD FS do systemu Windows Server 2016.
Ponadto istnieje możliwość, aby jeden adres IP próbował wielu logowań względem wielu użytkowników. W takich przypadkach liczba prób na użytkownika może być mniejsza od progu ochrony blokady konta w AD FS. Program Microsoft Entra Connect Health udostępnia teraz raport "Ryzykowny adres IP", który wykrywa ten warunek i powiadamia administratorów. Poniżej wymieniono najważniejsze zalety korzystania z tego raportu:
- Wykrywanie adresów IP, w przypadku których przekroczono próg nieudanych prób logowania opartego na haśle
- Obsługa nieudanych prób logowania związanych z nieprawidłowym hasłem lub stanem blokady ekstranetu
- Obsługuje włączanie alertów za pomocą alertów platformy Azure
- Możliwość konfiguracji ustawień progowych odpowiadających zasadom zabezpieczeń używanym w organizacji
- Dostosowywalne zapytania i rozwinięte wizualizacje na potrzeby dalszej analizy
- Rozszerzona funkcjonalność z poprzedniego Raportu Ryzykownych Adresów IP, który zostanie wycofany po 24 stycznia 2022 r.
Wymagania
- Program Connect Health dla usług AD FS został zainstalowany i zaktualizowany do najnowszego agenta.
- Obszar roboczy Log Analytics ze strumieniem "ADFSSignInLogs" włączonym.
- Uprawnienia do korzystania ze skoroszytów Monitor Entra ID firmy Microsoft. Aby korzystać ze skoroszytów, potrzebujesz:
- Dzierżawa Microsoft Entra z licencją Microsoft Entra ID P1 lub P2.
- Dostęp do obszaru roboczego usługi Log Analytics i następujących ról w usłudze Microsoft Entra ID (jeśli uzyskujesz dostęp do usługi Log Analytics za pośrednictwem centrum administracyjnego firmy Microsoft Entra): Administrator zabezpieczeń, Czytelnik zabezpieczeń, Czytelnik raportów
Co znajduje się w raporcie?
Skoroszyt raportu dotyczącego ryzykownych adresów IP bazuje na danych ze strumienia ADFSSignInLogs i umożliwia szybkie wizualizowanie i analizowanie ryzykownych adresów IP. Parametry można skonfigurować i dostosować dla liczby progów. Skoroszyt można również konfigurować na podstawie zapytań, a każde zapytanie można aktualizować i modyfikować na podstawie potrzeb organizacji.
Skoroszyt ryzykownych IP analizuje dane z ADFSSignInLogs, aby ułatwić wykrywanie ataków polegających na rozpraszaniu haseł lub ataków typu brute force. Książka robocza ma dwie części. Pierwsza część "Analiza ryzykownych adresów IP" identyfikuje ryzykowne adresy IP na podstawie wyznaczonych progów błędów i długości okna wykrywania. Druga część zawiera szczegóły logowania i liczby błędów dla wybranych adresów IP.
- W skoroszycie zostanie wyświetlona wizualizacja mapy i podział regionów na potrzeby szybkiej analizy ryzykownej lokalizacji adresów IP.
- Tabela szczegółów dotyczących ryzykownych adresów IP odzwierciedla funkcjonalność poprzedniego raportu ryzykownych adresów IP. Aby uzyskać szczegółowe informacje na temat pól w tabeli, zobacz poniższą sekcję.
- Oś czasu ryzykownych adresów IP przedstawia szybki przegląd wszelkich anomalii lub nagłych wzrostów liczby żądań na osi czasu.
- Szczegóły logowania i liczby błędów według adresu IP umożliwiają szczegółowe filtrowanie widoku według adresu IP lub użytkownika, aby rozwinąć tabelę szczegółów.
Każdy element w tabeli raportu o ryzykownych adresach IP zawiera zagregowane informacje o nieudanych próbach logowania do AD FS, które przekraczają wyznaczony próg. Zawiera on następujące informacje: 
| Element raportu | Opis |
|---|---|
| Godzina rozpoczęcia okna wykrywania | Pokazuje znacznik czasowy na podstawie lokalnego czasu centrum administracyjnego Microsoft Entra, kiedy rozpoczyna się okno czasowe wykrywania. Wszystkie zdarzenia dzienne są generowane o północy czasu UTC. Sygnatura czasowa zdarzeń godzinowych jest zaokrąglona do początku godziny. Czas rozpoczęcia pierwszego działania można znaleźć w wyeksportowanym pliku "firstAuditTimestamp". |
| Długość okna wykrywania | Zawiera typ przedziału czasu wykrywania. Typy wyzwalaczy agregacji to godzinowe lub dzienne. To ułatwia odróżnienie ataków siłowych o dużej częstotliwości od powolnych ataków, w przypadku których próby uzyskania dostępu są rozłożone na cały dzień. |
| Adres IP | Pojedynczy ryzykowny adres IP, powiązany z blokadą ekstranetu lub próbą logowania przy użyciu nieprawidłowego hasła. Może to być adres IPv4 lub IPv6. |
| Liczba błędów nieprawidłowego hasła (50126) | Liczba błędów dotyczących nieprawidłowego hasła związanych z tym adresem IP, które wystąpiły w danym przedziale czasu wykrywania. W przypadku niektórych użytkowników błędy dotyczące użycia nieprawidłowego hasła mogą występować wielokrotnie. Zwróć uwagę, że nie obejmuje to nieudanych prób z powodu wygasłych haseł. |
| Liczba błędów blokady ekstranetu (300030) | Liczba błędów dotyczących blokady ekstranetu związanych z tym adresem IP, które wystąpiły w danym przedziale czasu wykrywania. W przypadku niektórych użytkowników błędy dotyczące blokady ekstranetu mogą występować wielokrotnie. Będą one widoczne tylko wtedy, gdy skonfigurowano blokadę ekstranetu w usługach AD FS (w wersji 2012 R2 lub nowszej). Uwaga Zdecydowanie zalecamy włączenie tej funkcji, jeśli pozwalasz na logowanie do ekstranetu przy użyciu haseł. |
| Unikatowi użytkownicy podjęli próbę | Liczba unikatowych kont użytkowników, na które podjęto próby dostępu z tego adresu IP w danym oknie czasowym wykrywania. Umożliwia ona odróżnienie wzorca ataku przy użyciu jednego konta użytkownika od wzorca ataku przy użyciu wielu kont użytkowników. |
Filtruj raport według adresu IP lub nazwy użytkownika, aby wyświetlić rozszerzony widok szczegółów logowań dla każdego ryzykownego zdarzenia IP.
Uzyskiwanie dostępu do skoroszytu
Aby uzyskać dostęp do skoroszytu:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
- Przejdź do Entra ID>Monitoring & zdrowie>Skoroszyty.
- Wybierz skoroszyt raportu Ryzykowne adresy IP.
Adresy IP modułu równoważenia obciążenia na liście
Moduł równoważenia obciążenia agreguje nieudane działania związane z logowaniem i osiąga próg alertu. Jeśli widzisz adresy IP na liście równoważenia obciążenia, jest wysoce prawdopodobne, że zewnętrzny moduł równoważenia obciążenia nie wysyła adresu IP klienta podczas przekazywania żądania do serwera proxy aplikacji sieci Web. Proszę skonfigurować prawidłowo równoważnik obciążenia, aby przekazywać dalej adres IP klienta.
Konfigurowanie ustawień progu
Próg alertu można zaktualizować za pomocą ustawień progowych. Na początek, próg w systemie jest ustawiony domyślnie. Ustawienia progowe można ustawić na czasy wykrywania godzinne lub dzienne i dostosować je w filtrach.
Filtry progowe
| ** Element progowy | Opis |
|---|---|
| Nieprawidłowe hasło i próg blokady ekstranetu | Ustawienie progu do raportowania aktywności i wyzwalania powiadomień, gdy liczba nieprawidłowych haseł oraz blokad ekstranetu przekracza ją w ciągu godziny lub dnia. |
| Próg błędu blokady ekstranetu | Ustawienie progu do zgłaszania aktywności i wyzwalania powiadomienia o alertach, gdy liczba blokad ekstranetu przekroczy ustalony próg na godzinę lub dzień. Wartość domyślna to 50. |
Długość okna wykrywania godziny lub dnia można skonfigurować za pomocą przycisku przełącznika powyżej filtrów umożliwiającego dostosowywanie progów.
Konfigurowanie alertów powiadomień za pomocą usługi Azure Monitor w centrum administracyjnym Microsoft Entra:
- W centrum administracyjnym firmy Microsoft Entra wyszukaj ciąg "Monitor" na pasku wyszukiwania, aby przejść do usługi Azure "Monitor". Wybierz pozycję "Alerty" z menu po lewej stronie, a następnie pozycję "+ Nowa reguła alertu".
- W oknie "Utwórz regułę alertu":
- Zakres: kliknij pozycję "Wybierz zasób" i wybierz obszar roboczy usługi Log Analytics zawierający dzienniki ADFSSignInLogs, które chcesz monitorować.
- Warunek: kliknij pozycję "Dodaj warunek". Wybierz "Dziennik" dla typu sygnału i "Log Analytics" dla usługi Monitora. Wybierz 'Wyszukiwanie niestandardowe w dzienniku'.
- Skonfiguruj warunek wyzwalania alertu. Aby dopasować powiadomienia e-mail w raporcie o ryzykownych adresach IP programu Connect Health, postępuj zgodnie z poniższymi instrukcjami.
- Skopiuj i wklej następujące zapytanie i określ progi liczby błędów. To zapytanie generuje liczbę adresów IP, które przekraczają wyznaczone progi błędów.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]
lub dla połączonego progu:
badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds
Uwaga
Logika alertu oznacza, że alert zostanie wyzwolony, jeśli co najmniej jeden adres IP pojawia się w liczbie błędów blokady ekstranetu, lub gdy łączna liczba błędów nieprawidłowego hasła i blokady ekstranetu przekroczy wyznaczony próg. Możesz wybrać częstotliwość oceniania zapytania w celu wykrywania ryzykownych adresów IP.
Często zadawane pytania
Dlaczego w raporcie są widoczne adresy IP modułu równoważenia obciążenia?
Jeśli widzisz adresy IP na liście równoważenia obciążenia, jest wysoce prawdopodobne, że zewnętrzny moduł równoważenia obciążenia nie wysyła adresu IP klienta podczas przekazywania żądania do serwera proxy aplikacji sieci Web. Proszę skonfigurować prawidłowo równoważnik obciążenia, aby przekazywać dalej adres IP klienta.
Co zrobić, aby zablokować adres IP?
Złośliwy adres IP należy dodać do zapory lub blokady w programie Exchange.
Dlaczego nie widzę żadnych elementów w tym raporcie?
- Strumień logów analitycznych "ADFSSignInLogs" nie jest włączony w ustawieniach diagnostycznych.
- Nieudane działania logowania nie przekraczają ustawień progowych.
- Upewnij się, że na liście serwerów usług AD FS nie jest aktywny alert "Usługa zdrowotna nie jest aktualna". Przeczytaj więcej na temat rozwiązywania problemów z tym alertem
- Audyty nie są włączone w środowiskach AD FS.