O relatório de PI arriscado
Os clientes dos Serviços de Federação do Ative Directory (AD FS) podem expor pontos de extremidade de autenticação de senha à Internet para fornecer serviços de autenticação para que os usuários finais acessem aplicativos SaaS, como o Microsoft 365.
É possível que um agente mal-intencionado tente logins no seu sistema AD FS para adivinhar a senha de um usuário final e obter acesso aos recursos do aplicativo. A partir do Windows Server 2012 R2, o AD FS fornece a funcionalidade de bloqueio de conta de extranet para evitar esses tipos de ataques. Se você estiver em uma versão anterior, é altamente recomendável atualizar seu sistema AD FS para o Windows Server 2016.
Além disso, é possível que um único endereço IP tente vários logins contra vários usuários. Nesses casos, o número de tentativas por usuário pode estar abaixo do limite de proteção contra bloqueio de conta no AD FS.
O Microsoft Entra Connect Health agora fornece o relatório de IP de risco, que deteta essa condição e notifica os administradores. Aqui estão os principais benefícios de usar este relatório:
- Deteta endereços IP que excedem um limite de logins baseados em senha com falha
- Suporta logins com falha resultantes de senha incorreta ou estado de bloqueio da extranet
- Fornece notificações por e-mail para alertar administradores, com configurações de e-mail personalizáveis
- Fornece configurações de limite personalizáveis que correspondem à diretiva de segurança de uma organização
- Fornece relatórios para download para análise offline e integração com outros sistemas via automação
Nota
Para utilizar este relatório, tem de se certificar de que a auditoria do AD FS está ativada. Para obter mais informações, consulte Habilitar auditoria para AD FS.
Para aceder a esta versão de pré-visualização, necessita de permissões de Administrador Global ou Leitor de Segurança .
O que consta do relatório?
Os endereços IP do cliente da atividade de entrada com falha são agregados por meio de servidores Proxy de Aplicativo Web. Cada item no relatório de IP de Risco mostra informações agregadas sobre atividades de entrada do AD FS com falha que excederam o limite designado.
O relatório disponibiliza as seguintes informações:
| Item de relatório | Description |
|---|---|
| Carimbo de Data/Hora | O carimbo de data/hora baseado na hora local do centro de administração do Microsoft Entra quando a janela de hora de deteção é iniciada. Todos os eventos diários são gerados à meia-noite UTC. Os eventos de hora em hora têm o carimbo de data/hora arredondado para o início da hora. Você pode encontrar a hora de início da primeira atividade em "firstAuditTimestamp" no arquivo exportado. |
| Trigger Type (Tipo de Acionador) | O tipo de janela de tempo de deteção. Os tipos de acionadores de agregação são horários ou diários. Eles são úteis para diferenciar entre um ataque de força bruta de alta frequência e um ataque lento, onde o número de tentativas é distribuído ao longo do dia. |
| Endereço IP | O endereço IP em risco individual que recebeu atividades de início de sessão com palavra-passe errada ou bloqueio de extranet. Pode ser um endereço IPv4 ou IPv6. |
| Bad Password Error Count (Contagem de Erros de Palavra-passe Errada) | A contagem de erros de senha incorreta que ocorrem a partir do endereço IP durante a janela de tempo de deteção. Erros de senha incorreta podem acontecer várias vezes para certos usuários. Nota: Esta contagem não inclui tentativas falhadas resultantes de palavras-passe expiradas. |
| Contagem de erros de bloqueio de extranet | A contagem de erros de bloqueio de extranet que ocorrem a partir do endereço IP durante a janela de tempo de deteção. Os erros de bloqueio da extranet podem acontecer várias vezes para determinados usuários. Essa contagem será exibida somente se o Bloqueio de Extranet estiver configurado no AD FS (versões 2012R2 e posteriores). Nota: Recomendamos vivamente que ative esta funcionalidade se permitir inícios de sessão na extranet que utilizem palavras-passe. |
| Unique Users Attempted (Utilizadores Individuais Tentados) | A contagem de contas de usuário exclusivas que são tentadas a partir do endereço IP durante a janela de tempo de deteção. Diferencia entre um padrão de ataque de usuário único e um padrão de ataque de vários usuários. |
Por exemplo, o item de relatório a seguir indica que, durante a janela das 18h às 19h de 28 de fevereiro de 2018, o endereço IP 104.2XX.2XX.9 não tinha erros de senha incorreta e 284 erros de bloqueio de extranet. Catorze usuários únicos foram afetados dentro dos critérios. O evento de atividade excedeu o limite horário do relatório designado.
Nota
- Somente as atividades que excedem o limite designado são exibidas na lista de relatórios.
- Este relatório acompanha os últimos 30 dias, no máximo.
- Este relatório de alerta não mostra endereços IP do Exchange ou endereços IP privados. Permanecem incluídos na lista de exportação.
Endereços IP do balanceador de carga na lista
A agregação do balanceador de carga pode ter falhado, fazendo com que ele atinja o limite de alerta. Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure seu balanceador de carga corretamente para passar adiante o endereço IP do cliente.
Faça o download do relatório de IP de risco
Ao utilizar a funcionalidade Exportar, é possível exportar toda a lista de endereços IP em risco dos últimos 30 dias a partir do portal do Connect Health. O resultado da exportação incluíra todas as atividades de início de sessão do AD FS falhadas em cada janela de tempo de deteção, pelo que pode personalizar a filtragem após a exportação. Para além das agregações realçadas no portal, o resultado da exportação também mostrará mais detalhes sobre as atividades de início de sessão falhadas por endereço IP:
| Item de Relatório | Description |
|---|---|
| firstAuditTimestamp | O primeiro carimbo de data/hora quando as atividades com falha foram iniciadas durante a janela de tempo de deteção. |
| lastAuditTimestamp | O último carimbo de data/hora quando as atividades com falha terminaram durante a janela de tempo de deteção. |
| attemptCountThresholdIsExceeded | O sinalizador se as atividades atuais estiverem a exceder o limiar de alerta. |
| isWhitelistedIpAddress | O sinalizador se o endereço IP é filtrado em alertas e relatórios. Os endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e os endereços IP do Exchange são filtrados e marcados como Verdadeiros. Se você estiver vendo intervalos de endereços IP privados, é altamente provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente quando ele passar a solicitação para o servidor Proxy de Aplicativo Web. |
Configurar definições de notificação
Você pode atualizar os contatos do administrador do relatório por meio das Configurações de notificação. Por padrão, a notificação por e-mail de alerta de IP arriscado está em um estado desativado . Você pode habilitar a notificação alternando o botão em Obter notificações por e-mail para endereços IP que excedam o relatório de limite de atividade com falha.
Como as configurações genéricas de notificação de alerta no Connect Health, ele permite que você personalize a lista de destinatários de notificação designados sobre o relatório de IP de risco a partir daqui. Você também pode notificar todos os administradores de identidade híbrida enquanto faz a alteração.
Definir configurações de limite
Você pode atualizar o limite de alerta em Configurações de limite. O limite do sistema é definido com valores padrão, que são mostrados na captura de tela a seguir e descritos na tabela.
As configurações de limite de relatório IP de risco são separadas em quatro categorias.
| Definição de limites | Description |
|---|---|
| (Bad U/P + Extranet Lockout) / Day [(U/P incorreta + Bloqueio de Extranet) / Dia] | Relata a atividade e dispara uma notificação de alerta quando a contagem de Bad Password mais a contagem de Extranet Lockout excede o limite, por dia. O valor predefinido é 100. |
| (Bad U/P + Extranet Lockout) / Hour [U/P incorreta + Bloqueio de Extranet / Hora] | Relata a atividade e dispara uma notificação de alerta quando a contagem de Senha Inválida mais a contagem de Bloqueio de Extranet excede o limite, por hora. O valor predefinido é 50. |
| Extranet Lockout / Day [Bloqueio de Extranet / Dia] | Relata a atividade e dispara uma notificação de alerta quando a contagem de Bloqueio de Extranet excede o limite, por dia. O valor predefinido é 50. |
| Extranet Lockout / Hour [Bloqueio de Extranet / Hora] | Relata a atividade e dispara uma notificação de alerta quando a contagem de Bloqueio de Extranet excede o limite, por hora. O valor predefinido é 25. |
Nota
- A alteração do limite de relatório será aplicada uma hora após a alteração da configuração.
- Os itens reportados existentes não serão afetados pela alteração ao limiar.
- Recomendamos que você analise o número de eventos relatados em seu ambiente e ajuste o limite adequadamente.
FAQ
Por que estou vendo intervalos de endereços IP privados no relatório?
Os endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e os endereços IP do Exchange são filtrados e marcados como True na lista de IP aprovados. Se você estiver vendo intervalos de endereços IP privados, é altamente provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente quando ele passar a solicitação para o servidor Proxy de Aplicativo Web.
Por que estou vendo endereços IP do balanceador de carga no relatório?
Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure seu balanceador de carga corretamente para passar adiante o endereço IP do cliente.
Como posso bloquear o endereço IP?
Você deve adicionar o endereço IP mal-intencionado identificado ao firewall ou bloqueá-lo no Exchange.
Por que não consigo ver nenhum item neste relatório?
- As atividades de início de sessão com falha não estão a exceder as definições de limite.
- Certifique-se de que nenhum alerta "O serviço de integridade não está atualizado" está ativo na lista de servidores do AD FS. Leia mais sobre como resolver problemas com este alerta.
- As auditorias não estão habilitadas em farms do AD FS.
Por que não consigo acessar o relatório?
Você precisa ter permissões de Administrador Global ou Leitor de Segurança . Entre em contato com o administrador global para obter acesso.