O relatório de IP arriscado
Os clientes do AD FS (Serviços de Federação do Active Directory) podem expor pontos de extremidade de autenticação de senha para a Internet a fim de fornecer serviços de autenticação para os usuários finais acessarem aplicativos SaaS como o Microsoft 365.
É possível que um ator mal-intencionado tente fazer logons em seu sistema do AD FS adivinhando a senha do usuário final e obtendo acesso aos recursos do aplicativo. A partir do Windows Server 2012 R2, o AD FS fornece a funcionalidade de bloqueio de conta de extranet para evitar esses tipos de ataque. Se você estiver usando uma versão anterior, recomendamos fortemente que atualize seu sistema do AD FS para o Windows Server 2016.
Além disso, é possível que um único endereço IP tente vários logons em relação a vários usuários. Nesses casos, o número de tentativas por usuário pode estar abaixo do limite para a proteção de bloqueio de conta no AD FS.
O Microsoft Entra Connect Health já fornece o Relatório de IPs suspeitos, que detecta essa condição e notifica os administradores. Aqui estão os principais benefícios de usar esse relatório:
- Detecta endereços IP que excedem um limite de logons com falha com base em senha
- Dá suporte a logons com falha frutos de senha incorreta ou estado de bloqueio de extranet
- Fornece notificações por email para alertar administradores com configurações de email personalizáveis
- Fornece configurações de limite personalizáveis que correspondem à política de segurança de uma organização
- Fornece relatórios que podem ser baixados para análise offline e integração com outros sistemas por meio de automação
Observação
Para usar esse relatório, você deve habilitar a auditoria do AD FS. Para obter mais informações, confira Habilitar a auditoria do AD FS.
Para acessar essa versão prévia, você precisa de permissões de Administrador Global ou Leitor de Segurança.
O que há no relatório?
Os endereços IP dos clientes da atividade de entrada com falha são agregados por meio de servidores de Proxy de Aplicativo Web. Cada item no relatório de IP Suspeito mostra informações agregadas sobre as atividades de entrada no AD FS com falha que excederam o limite designado.
Esse relatório fornece as seguintes informações:
| Item de relatório | Descrição |
|---|---|
| Carimbo de Data/Hora | O carimbo de data/hora baseado na hora local do centro de administração do Microsoft Entra quando a janela de tempo de detecção é iniciada. Todos os eventos diários são gerados à meia-noite, horário UTC. Os eventos por hora têm o carimbo de data/hora arredondado para o início da hora. Você pode encontrar a hora de início da primeira atividade de "firstAuditTimestamp" no arquivo exportado. |
| Tipo de gatilho | O tipo de janela de tempo de detecção. Os tipos de gatilho de agregação são por hora ou por dia. Eles são úteis para diferenciar um ataque de força bruta de alta frequência de um ataque lento em que o número de tentativas é distribuído ao longo do dia. |
| Endereço IP | O único endereço IP arriscado que tinha senha incorreta ou atividades de entrada do bloqueio de extranet. Pode ser um endereço IPv4 ou IPv6. |
| Contagem de erro de senha inválida | A contagem de erros de senha incorreta que ocorreu no endereço IP durante a janela de tempo de detecção. Erros de senha incorreta podem ocorrer várias vezes para determinados usuários. Observação: essa contagem não inclui tentativas com falha resultantes de senhas expiradas. |
| Contagem de erro de bloqueio de extranet | A contagem de erro de bloqueio de extranet que ocorreu no endereço IP durante a janela de tempo de detecção. Os erros de bloqueio de extranet podem ocorrer várias vezes para determinados usuários. Essa contagem só será exibida somente se o Bloqueio de extranet estiver configurado no AD FS (versões 2012R2 e posteriores). Observação: recomendamos fortemente habilitar esse recurso se você permitir logons da extranet que usam senhas. |
| Usuários exclusivos tentados | A contagem de tentativas de contas de usuário exclusivas no endereço IP durante a janela de tempo de detecção. Diferencia entre um padrão de ataque de usuário único e um padrão de ataque multiusuário. |
Por exemplo, o item de relatório a seguir indica que, durante a janela das 18h às 19h de 28 de fevereiro de 2018, o endereço IP 104.2XX.2XX.9 não teve erros de senha incorreta e teve 284 erros de bloqueio de extranet. Quatorze usuários exclusivos foram afetados dentro dos critérios. O evento de atividade excedeu o limite horário definido para o relatório.
Observação
- Apenas as atividades que excedem o limite designado são exibidas na lista de relatórios.
- Esse relatório acompanha no máximo os últimos 30 dias.
- Esse relatório de alerta não mostra endereços IP do Exchange ou endereços IP privado. Eles ainda são incluídos na lista de exportação.
Endereços IP do balanceador de carga na lista
A agregação do balanceador de carga pode ter falhado, fazendo com que ele atingisse o limite de alerta. Se você estiver vendo endereços IP do balanceador de carga, é muito provável que o seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.
Baixar o relatório de IPs arriscados
Usando a função Baixar, a lista de endereços IP arriscados inteira nos últimos 30 dias pode ser exportada do Portal do Connect Health O resultado de exportação incluirá todas as atividades de entrada do AD FS com falha em cada janela de tempo de detecção, para que você possa personalizar a filtragem após a exportação. Além de agregações realçadas no portal, o resultado da exportação também mostra mais detalhes sobre as atividades de entrada com falha por endereço IP:
| Item do relatório | Descrição |
|---|---|
| firstAuditTimestamp | O primeiro carimbo de data/hora de quando as atividades com falha começaram durante a janela de tempo de detecção. |
| lastAuditTimestamp | O último carimbo de data/hora de quando as atividades com falha terminaram durante a janela de tempo de detecção. |
| attemptCountThresholdIsExceeded | O sinalizador que indica se as atividades atuais estão excedendo o limite de alerta. |
| isWhitelistedIpAddress | O sinalizador que indica se o endereço IP foi filtrado de alertas e relatórios. Endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e endereços IP do Exchange são filtrados e marcados como True. Se você estiver vendo intervalos de endereços IP privados, é muito provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. |
Definir as configurações de notificação
Você pode atualizar os contatos do administrador do relatório por meio das Configurações de notificação. Por padrão, a notificação de email de alerta de IP arriscado está desativada. Você pode habilitar a notificação por meio do botão em Obter notificações por email para endereços IP que excedem o relatório de limite de atividade com falha.
Assim como as configurações genéricas de notificação de alerta no Connect Health, isso permite que você personalize a lista de destinatários de notificação designada sobre o relatório de IP arriscado a partir daqui. Você também pode notificar todos os administradores de identidade híbrida enquanto estiver fazendo a alteração.
Definir as configurações de limite
Você pode atualizar o limite de alertas em Configurações de Limite. O limite do sistema é definido com valores padrão, que são mostrados na captura de tela a seguir e estão descritos na tabela.
As configurações de limite do relatório de IPs arriscados são separadas em quatro categorias.
| Configuração de limite | Descrição |
|---|---|
| (U/P má + Bloqueio de Extranet) / Dia | Relata a atividade e dispara uma notificação de alerta quando a contagem de senha incorreta mais a contagem de bloqueio de extranet exceder o limite, por dia. O valor padrão é 100. |
| (U/P má + Bloqueio de Extranet) / Hora | Relata a atividade e dispara uma notificação de alerta quando a contagem de senha incorreta mais a contagem de bloqueio de extranet exceder o limite, por hora. O valor padrão é 50. |
| Bloqueio de Extranet / Dia | Relata a atividade e dispara uma notificação de alerta quando a contagem de bloqueio de extranet exceder o limite, por dia. O valor padrão é 50. |
| Bloqueio de Extranet / Hora | Relata a atividade e dispara uma notificação de alerta quando a contagem de bloqueio de extranet exceder o limite, por hora. O valor padrão é 25. |
Observação
- A alteração do limite do relatório será aplicada uma hora após a alteração da configuração.
- Os itens relatados existentes não serão afetados pela alteração de limite.
- Recomendamos que você analise o número de eventos relatados em seu ambiente e ajuste o limite adequadamente.
Perguntas frequentes
Por que estou vendo intervalos de endereços IP privados no relatório?
Endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e endereços IP do Exchange são filtrados e marcados como True na lista de permissões de IPs. Se você estiver vendo intervalos de endereços IP privados, é muito provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web.
Por que estou vendo endereços IP do balanceador de carga no relatório?
Se você estiver vendo endereços IP do balanceador de carga, é muito provável que o seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.
Como posso bloquear o endereço IP?
Você deve adicionar o endereço IP mal-intencionado ao firewall ou bloqueá-lo no Exchange.
Por que não consigo ver nenhum item nesse relatório?
- Atividades de entrada com falha não excedem as configurações de limite.
- Verifique se nenhum alerta de “Serviço Health desatualizado” está ativo na sua lista de servidores AD FS. Leia mais sobre como solucionar esse alerta.
- As auditorias não estão habilitadas em farms de servidores do AD FS.
Por que não consigo acessar o relatório?
Você precisa ter permissões de Administrador Global ou de Leitor de Segurança. Entre em contato com o Administrador Global para obter acesso.