Jak zbadać logowania wymagające uwierzytelniania wieloskładnikowego
Monitorowanie usługi Microsoft Entra Health udostępnia zestaw metryk kondycji na poziomie dzierżawy, które można monitorować i alerty w przypadku wykrycia potencjalnego problemu lub stanu awarii. Istnieje wiele scenariuszy kondycji, które można monitorować, w tym uwierzytelnianie wieloskładnikowe (MFA).
Ten scenariusz:
- Agreguje liczbę użytkowników, którzy pomyślnie ukończyli logowanie wieloskładnikowe przy użyciu usługi MFA firmy Microsoft Entra w chmurze.
- Przechwytuje interaktywne logowania za pomocą uwierzytelniania wieloskładnikowego, agregując zarówno sukcesy, jak i niepowodzenia.
- Wyklucza, gdy użytkownik odświeża sesję bez wykonywania interakcyjnej uwierzytelniania wieloskładnikowego lub korzystania z metod logowania bez hasła.
W tym artykule opisano te metryki kondycji i sposób rozwiązywania potencjalnego problemu po otrzymaniu alertu.
Wymagania wstępne
Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.
- Dzierżawa z licencją Microsoft Entra P1 lub P2 jest wymagana do wyświetlania sygnałów monitorowania scenariusza kondycji firmy Microsoft Entra.
- Dzierżawa z licencją microsoft Entra P1 lub P2 i co najmniej 100 miesięcznych aktywnych użytkowników jest wymagana do wyświetlania alertów i odbierania powiadomień o alertach.
- Rola Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
- Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizowania alertów i aktualizowania konfiguracji powiadomień o alertach.
- Uprawnienie
HealthMonitoringAlert.Read.All
jest wymagane do wyświetlania alertów przy użyciu interfejsu API programu Microsoft Graph. - Uprawnienie
HealthMonitoringAlert.ReadWrite.All
jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API programu Microsoft Graph. - Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.
Zebrać dane
Badanie alertu rozpoczyna się od zbierania danych.
- Zbierz szczegóły sygnału i podsumowanie wpływu.
- Aby uzyskać więcej informacji, zobacz Omówienie monitorowania kondycji programu Microsoft Graph.
- Przejrzyj dzienniki logowania.
- Przejrzyj szczegóły dziennika logowania.
- Poszukaj użytkowników, którzy nie mogą się zalogować i mają zasady dostępu warunkowego wymagające zastosowania uwierzytelniania wieloskładnikowego.
- Sprawdź dzienniki inspekcji pod kątem ostatnich zmian zasad.
- Użyj dzienników inspekcji, aby rozwiązać problemy ze zmianami zasad dostępu warunkowego.
Rozwiązywanie typowych problemów
Następujące typowe problemy mogą spowodować gwałtowny wzrost liczby logów uwierzytelniania wieloskładnikowego. Ta lista nie jest wyczerpująca, ale stanowi punkt wyjścia do badania.
Problemy z konfiguracją aplikacji
Zwiększenie liczby logów wymagających uwierzytelniania wieloskładnikowego może oznaczać zmianę zasad lub potencjalnie wyzwolenie dużej liczby użytkowników w celu zalogowania się w tym samym czasie.
Aby zbadać:
- W podsumowaniu wpływu, jeśli
resourceType
jest "aplikacja", a na liście znajduje się tylko jedna lub dwie aplikacje, sprawdź dzienniki inspekcji pod kątem zmian w wymienionych aplikacjach. - W dziennikach inspekcji użyj kolumny Target (Cel ), aby filtrować aplikację lub otwierać dzienniki inspekcji z aplikacji dla przedsiębiorstw, więc filtr jest już ustawiony.
- Ustal, czy aplikacja została niedawno dodana, czy ponownie skonfigurowana.
- W dziennikach logowania użyj kolumny Aplikacja , aby filtrować dla tej samej aplikacji lub zakresu dat, aby wyszukać inne wzorce.
Problemy z uwierzytelnianiem użytkowników
Zwiększenie liczby logów wymagających uwierzytelniania wieloskładnikowego może wskazywać na atak siłowy, w którym do konta użytkownika jest prowadzonych wiele nieautoryzowanych prób logowania.
Aby zbadać:
- W podsumowaniu wpływu, jeśli
resourceType
wartość to "użytkownik", aimpactedCount
wartość zawiera mały podzbiór użytkowników, problem może być specyficzny dla użytkownika. - Użyj następujących filtrów w dziennikach logowania:
- Stan: Niepowodzenie
- Wymaganie uwierzytelniania: uwierzytelnianie wieloskładnikowe
- Dostosuj datę tak, aby odpowiadała przedziałowi czasu wskazanemu w podsumowaniu wpływu.
- Czy nieudane próby logowania pochodzą z tego samego adresu IP?
- Czy nieudane próby logowania od tego samego użytkownika?
- Uruchom diagnostykę logowania, aby wykluczyć problemy z błędami użytkownika standardowego lub początkowe problemy z konfiguracją uwierzytelniania wieloskładnikowego.
Problemy z siecią
Może wystąpić awaria systemu regionalnego, która wymagała jednoczesnego zalogowania dużej liczby użytkowników.
Aby zbadać:
- W podsumowaniu wpływu, jeśli
resourceType
wartość jest "użytkownikiem", aimpactedCount
wartość pokazuje duży procent użytkowników w organizacji, możesz przyjrzeć się szerokiemu problemowi. - Sprawdź kondycję systemu i sieci, aby sprawdzić, czy awaria lub aktualizacja jest zgodna z tym samym przedziałem czasu co anomalia.