O relatório de IPs suspeitos
Os clientes do AD FS (Serviços de Federação do Active Directory) podem expor pontos de extremidade de autenticação de senha para a Internet, a fim de fornecer serviços de autenticação para os usuários finais acessarem aplicativos SaaS, como o Microsoft 365.
É possível que um ator mal-intencionado tente fazer logons no sistema do AD FS adivinhando a senha do usuário final e obtendo acesso aos recursos do aplicativo. A partir do Windows Server 2012 R2, o AD FS fornece a funcionalidade bloqueio de conta da extranet para evitar esses tipos de ataque. Se você estiver usando uma versão anterior, recomendamos veementemente que atualize seu sistema do AD FS para o Windows Server 2016.
Além disso, é possível que um único endereço IP tente fazer vários logons com vários usuários. Nesses casos, o número de tentativas por usuário pode estar abaixo do limite para a proteção de bloqueio de conta no AD FS.
O Microsoft Entra Connect Health agora fornece o Relatório de IPs suspeitos, que detecta essa condição e notifica os administradores. Aqui estão os principais benefícios de usar esse relatório:
- Detecta endereços IP que excedem um limite de logons com falha baseados em senha
- Compatível com logons com falha resultantes de senha incorreta ou estado de bloqueio da extranet
- Fornece notificações por email para alertar administradores com configurações de email personalizáveis
- Fornece configurações de limite personalizáveis que correspondem à política de segurança de uma organização
- Fornece relatórios que podem ser baixados para análise offline e integração com outros sistemas por meio de automação
Observação
Para usar esse relatório, você deve habilitar a auditoria do AD FS. Para obter mais informações, confira Habilitar a auditoria do AD FS.
Para acessar essa versão prévia, você precisa de permissões do Leitor de Segurança.
O que há no relatório?
Os endereços IP dos clientes da atividade de entrada com falha são agregados por meio de servidores do Proxy de Aplicativo Web. Cada item no relatório de IPs suspeitos mostra informações agregadas sobre as atividades de entrada no AD FS com falha, que excederam o limite designado.
Esse relatório fornece as seguintes informações:
| Item de relatório | Descrição |
|---|---|
| Carimbo de Data/Hora | O carimbo de data/hora baseado na hora local do centro de administração do Microsoft Entra quando a janela de tempo de detecção é iniciada. Todos os eventos diários são gerados à meia-noite, horário UTC. Os eventos por hora têm o carimbo de data/hora arredondado para o início da hora. Você encontrará a hora de início da primeira atividade em "firstAuditTimestamp" no arquivo exportado. |
| Tipo de gatilho | O tipo de janela de tempo de detecção. Os tipos de gatilho de agregação são por hora ou por dia. Eles são úteis para diferenciar um ataque de força bruta de alta frequência de um ataque lento, no qual o número de tentativas é distribuído ao longo do dia. |
| Endereço IP | O endereço IP suspeito único, que tinha senha incorreta ou atividades de entrada do bloqueio na extranet. Pode ser um endereço IPv4 ou IPv6. |
| Contagem de erros de senha incorreta | A contagem de erros de senha incorreta que ocorreu no endereço IP durante a janela de tempo de detecção. Erros de senha incorreta podem ocorrer várias vezes para certos usuários. Observação: essa contagem não inclui tentativas com falha resultantes de senhas expiradas. |
| Contagem de erros de bloqueio da extranet | A contagem de erros de bloqueio da extranet que ocorreu no endereço IP durante a janela de tempo de detecção. Os erros de bloqueio da extranet podem ocorrer várias vezes para certos usuários. Essa contagem será exibida somente se o Bloqueio da extranet estiver configurado no AD FS (versões 2012R2 e posteriores). Observação: recomendamos veementemente habilitar esse recurso se você permitir logons da extranet que usam senhas. |
| Usuários únicos que sofreram tentativas | A contagem de tentativas nas contas de usuários únicos do endereço IP durante a janela de tempo de detecção. Diferencia entre um padrão de ataque de usuário único e um padrão de ataque multiusuário. |
Por exemplo, o item de relatório a seguir indica que, durante a janela das 18h às 19h em 28 de fevereiro de 2018, o endereço IP 104.2XX.2XX.9 não teve erros de senha incorreta e teve 284 erros de bloqueio da extranet. Quatorze usuários únicos foram afetados nesse critério. O evento de atividade excedeu o limite de horário definido para o relatório.
Observação
- Apenas as atividades que excedem o limite designado são exibidas na lista de relatórios.
- Esse relatório acompanha no máximo os últimos 30 dias.
- Esse relatório de alerta não mostra endereços IP do Exchange ou privados. Eles continuam incluídos na lista de exportações.
Endereços IP do balanceador de carga na lista
A agregação do balanceador de carga pode ter falhado, e por isso ele atingiu o limite de alerta. Se você estiver vendo endereços IP do balanceador de carga, é muito provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.
Baixar o relatório de IPs suspeitos
Usando a funcionalidade Baixar, toda a lista de endereços IP suspeitos nos últimos 30 dias poderá ser exportada do Portal do Connect Health. O resultado da exportação incluirá todas as atividades de entrada do AD FS com falha em cada janela de tempo de detecção, para que você possa personalizar a filtragem após a exportação. Além de agregações realçadas no portal, o resultado da exportação também mostra mais detalhes sobre as atividades de entrada com falha por endereço IP:
| Item de relatório | Descrição |
|---|---|
| firstAuditTimestamp | O primeiro carimbo de data/hora de quando as atividades com falha começaram durante a janela de tempo de detecção. |
| lastAuditTimestamp | O último carimbo de data/hora de quando as atividades com falha terminaram durante a janela de tempo de detecção. |
| attemptCountThresholdIsExceeded | O sinalizador que indica se as atividades atuais estão excedendo o limite de alerta. |
| isWhitelistedIpAddress | O sinalizador que indica se o endereço IP foi filtrado de alertas e relatórios. Endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e endereços IP do Exchange são filtrados e marcados como True. Se você estiver vendo intervalos de endereços IP privados, é muito provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. |
Definir configurações de notificação
Você pode atualizar os contatos do administrador do relatório por meio das Configurações de notificação. Por padrão, a notificação de email de alerta de IP suspeito está desativada. Você pode habilitar a notificação por meio do botão em Obter notificações por email para endereços IP que excedem o relatório de limite de atividade com falha.
Assim como as configurações genéricas de notificação de alerta no Connect Health, isso permite que você personalize a lista de destinatários da notificação designada sobre o relatório de IPs suspeitos, aqui. Você também pode notificar todos os Administradores de Identidade Híbrida enquanto faz a alteração.
Definir as configurações de limite
Atualize o limite de alertas em Configurações de Limite. O limite do sistema é definido com valores padrão, mostrados na captura de tela a seguir, e estão descritos na tabela.
As configurações de limite do relatório de IPs suspeitos são separadas em quatro categorias.
| Configuração de limite | Descrição |
|---|---|
| (U/P incorreta + Bloqueio de Extranet) / Dia | Relata a atividade e dispara uma notificação de alerta quando a contagem de senhas incorretas mais a contagem de bloqueios da extranet excederem o limite por dia. O valor padrão é 100. |
| (U/P incorreta + Bloqueio de Extranet) / Hora | Relata a atividade e dispara uma notificação de alerta quando a contagem de senhas incorretas mais a contagem de bloqueio da extranet excederem o limite, por hora. O valor padrão é 50. |
| Bloqueio da Extranet / Dia | Relata a atividade e dispara uma notificação de alerta quando a contagem de bloqueios da extranet exceder o limite, por dia. O valor padrão é 50. |
| Bloqueio da Extranet / Hora | Relata a atividade e dispara uma notificação de alerta quando a contagem de bloqueios da extranet exceder o limite por hora. O valor padrão é 25. |
Observação
- A alteração do limite do relatório será aplicada uma hora após a alteração da configuração.
- Os itens relatados existentes não serão afetados pela alteração do limite.
- Recomendamos que você analise o número de eventos relatados em seu ambiente e ajuste o limite adequadamente.
Perguntas frequentes
Por que estou vendo intervalos de endereços IP privados no relatório?
Endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e endereços IP do Exchange são filtrados e marcados como True na lista de permissões de IPs. Se você estiver vendo intervalos de endereços IP privados, é muito provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web.
Por que estou vendo endereços IP do balanceador de carga no relatório?
Se você estiver vendo endereços IP do balanceador de carga, é muito provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.
Como posso bloquear o endereço IP?
Você deve adicionar o endereço IP malicioso ao firewall ou bloqueá-lo no Exchange.
Por que não consigo ver nenhum item nesse relatório?
- As atividades de entrada com falha não excedem as configurações de limite.
- Verifique se nenhum alerta de “Serviço de integridade desatualizado” está ativo na sua lista de servidores AD FS. Leia mais sobre como solucionar esse alerta.
- As auditorias não estão habilitadas em farms de servidores do AD FS.
Por que não consigo acessar o relatório?
Você precisa ter permissões de Leitor de segurança.