Partilhar via


O relatório de PI arriscado

Os clientes dos Serviços de Federação do Ative Directory (AD FS) podem expor pontos de extremidade de autenticação de senha à Internet para fornecer serviços de autenticação para que os usuários finais acessem aplicativos SaaS, como o Microsoft 365.

É possível que um agente mal-intencionado tente logins no seu sistema AD FS para adivinhar a senha de um usuário final e obter acesso aos recursos do aplicativo. A partir do Windows Server 2012 R2, o AD FS fornece a funcionalidade de bloqueio de conta de extranet para evitar esses tipos de ataques. Se você estiver em uma versão anterior, é altamente recomendável atualizar seu sistema AD FS para o Windows Server 2016.

Além disso, é possível que um único endereço IP tente vários logins contra vários usuários. Nesses casos, o número de tentativas por usuário pode estar abaixo do limite de proteção contra bloqueio de conta no AD FS.

O Microsoft Entra Connect Health agora fornece o relatório de IP de risco, que deteta essa condição e notifica os administradores. Aqui estão os principais benefícios de usar este relatório:

  • Deteta endereços IP que excedem um limite de logins baseados em senha com falha
  • Suporta logins com falha resultantes de senha incorreta ou estado de bloqueio da extranet
  • Fornece notificações por e-mail para alertar administradores, com configurações de e-mail personalizáveis
  • Fornece configurações de limite personalizáveis que correspondem à diretiva de segurança de uma organização
  • Fornece relatórios para download para análise offline e integração com outros sistemas via automação

Observação

Para usar esse relatório, você deve garantir que a auditoria do AD FS esteja habilitada. Para obter mais informações, consulte Habilitar auditoria para AD FS.

Para aceder a esta versão de pré-visualização, necessita de permissões do Security Reader .  

O que consta do relatório?

Os endereços IP do cliente da atividade de entrada com falha são agregados por meio de servidores Proxy de Aplicativo Web. Cada item no relatório de IP de Risco mostra informações agregadas sobre atividades de entrada do AD FS com falha que excederam o limite designado.

O relatório fornece as seguintes informações:

Captura de ecrã que mostra um relatório IP de risco com cabeçalhos de coluna realçados.

Item de relatório Descrição
Carimbo de data/hora O carimbo de data/hora baseado na hora local do centro de administração do Microsoft Entra quando a janela de hora de deteção é iniciada.
Todos os eventos diários são gerados à meia-noite UTC.
Os eventos de hora em hora têm o carimbo de data/hora arredondado para o início da hora. Você pode encontrar a hora de início da primeira atividade em "firstAuditTimestamp" no arquivo exportado.
Tipo de gatilho O tipo de janela de tempo de deteção. Os tipos de gatilho de agregação são por hora ou por dia. Eles são úteis para diferenciar entre um ataque de força bruta de alta frequência e um ataque lento, onde o número de tentativas é distribuído ao longo do dia.
Endereço IP O único endereço IP arriscado que tinha senha incorreta ou atividades de login de bloqueio de extranet. Pode ser um endereço IPv4 ou IPv6.
Contagem de erros de senha incorreta A contagem de erros de senha incorreta que ocorrem a partir do endereço IP durante a janela de tempo de deteção. Erros de senha incorreta podem acontecer várias vezes para certos usuários. Nota: Esta contagem não inclui tentativas falhadas resultantes de palavras-passe expiradas.
Contagem de erros de bloqueio de extranet A contagem de erros de bloqueio de extranet que ocorrem a partir do endereço IP durante a janela de tempo de deteção. Os erros de bloqueio da extranet podem acontecer várias vezes para determinados usuários. Essa contagem será exibida somente se o Bloqueio de Extranet estiver configurado no AD FS (versões 2012R2 e posteriores). Nota: Recomendamos vivamente que ative esta funcionalidade se permitir inícios de sessão na extranet que utilizem palavras-passe.
Tentativa de usuários únicos A contagem de contas de usuário exclusivas que são tentadas a partir do endereço IP durante a janela de tempo de deteção. Diferencia entre um padrão de ataque de usuário único e um padrão de ataque de vários usuários.

Por exemplo, o item de relatório a seguir indica que, durante a janela das 18h às 19h de 28 de fevereiro de 2018, o endereço IP 104.2XX.2XX.9 não tinha erros de senha incorreta e 284 erros de bloqueio de extranet. Catorze usuários únicos foram afetados dentro dos critérios. O evento de atividade excedeu o limite horário do relatório designado.

Captura de tela que mostra um exemplo de uma entrada de relatório IP de risco.

Observação

  • Somente as atividades que excedem o limite designado são exibidas na lista de relatórios.
  • Este relatório acompanha os últimos 30 dias, no máximo.
  • Este relatório de alerta não mostra endereços IP do Exchange ou endereços IP privados. Eles ainda estão incluídos na lista de exportação.

Captura de tela que mostra o relatório de IP de risco com os botões Download, Configurações de notificação e Configurações de limite realçados.

Endereços IP do balanceador de carga na lista

A agregação do balanceador de carga pode ter falhado, fazendo com que ele atinja o limite de alerta. Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure seu balanceador de carga corretamente para passar adiante o endereço IP do cliente.

Faça o download do relatório de IP de risco

Usando a funcionalidade Download , toda a lista de endereços IP arriscados nos últimos 30 dias pode ser exportada do Connect Health Portal. O resultado da exportação incluirá todas as atividades de entrada do AD FS com falha em cada janela de tempo de deteção, para que você possa personalizar a filtragem após a exportação. Além das agregações destacadas no portal, o resultado da exportação também mostra mais detalhes sobre as atividades de entrada com falha por endereço IP:

Item de relatório Descrição
firstAuditTimestamp O primeiro carimbo de data/hora quando as atividades com falha foram iniciadas durante a janela de tempo de deteção.
lastAuditTimestamp O último carimbo de data/hora quando as atividades com falha terminaram durante a janela de tempo de deteção.
attemptCountThresholdIsExceeded O sinalizador se as atividades atuais estiverem excedendo o limite de alerta.
isWhitelistedIpAddress O sinalizador se o endereço IP for filtrado de alertas e relatórios. Os endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e os endereços IP do Exchange são filtrados e marcados como Verdadeiros. Se você estiver vendo intervalos de endereços IP privados, é altamente provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente quando ele passar a solicitação para o servidor Proxy de Aplicativo Web.

Definir configurações de notificação

Você pode atualizar os contatos do administrador do relatório por meio das Configurações de notificação. Por padrão, a notificação por e-mail de alerta de IP arriscado está em um estado desativado . Você pode habilitar a notificação alternando o botão em Obter notificações por e-mail para endereços IP que excedam o relatório de limite de atividade com falha.

Como as configurações genéricas de notificação de alerta no Connect Health, ele permite que você personalize a lista de destinatários de notificação designados sobre o relatório de IP de risco a partir daqui. Você também pode notificar todos os Administradores de Identidade Híbrida enquanto estiver fazendo a alteração.

Definir configurações de limite

Você pode atualizar o limite de alerta em Configurações de limite. O limite do sistema é definido com valores padrão, que são mostrados na captura de tela a seguir e descritos na tabela.

As configurações de limite de relatório IP de risco são separadas em quatro categorias.

Captura de tela do Portal de Integridade do Microsoft Entra Connect que mostra as quatro categorias de configurações de limite e seus valores padrão.

Definição de limites Descrição
(Bad U / P + Extranet Lockout) / Dia Relata a atividade e dispara uma notificação de alerta quando a contagem de Bad Password mais a contagem de Extranet Lockout excede o limite, por dia. O valor padrão é 100.
(Bad U / P + Extranet Lockout) / Hora Relata a atividade e dispara uma notificação de alerta quando a contagem de Senha Inválida mais a contagem de Bloqueio de Extranet excede o limite, por hora. O valor padrão é 50.
Bloqueio de Extranet / Dia Relata a atividade e dispara uma notificação de alerta quando a contagem de Bloqueio de Extranet excede o limite, por dia. O valor padrão é 50.
Bloqueio de Extranet / Hora Relata a atividade e dispara uma notificação de alerta quando a contagem de Bloqueio de Extranet excede o limite, por hora. O valor padrão é 25.

Observação

  • A alteração do limite de relatório será aplicada uma hora após a alteração da configuração.
  • Os itens relatados existentes não serão afetados pela alteração de limite.
  • Recomendamos que você analise o número de eventos relatados em seu ambiente e ajuste o limite adequadamente.

Perguntas Frequentes

Por que estou vendo intervalos de endereços IP privados no relatório?

Os endereços IP privados (10.x.x.x, 172.x.x.x e 192.168.x.x) e os endereços IP do Exchange são filtrados e marcados como True na lista de IP aprovados. Se você estiver vendo intervalos de endereços IP privados, é altamente provável que seu balanceador de carga externo não esteja enviando o endereço IP do cliente quando ele passar a solicitação para o servidor Proxy de Aplicativo Web.

Por que estou vendo endereços IP do balanceador de carga no relatório?

Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure seu balanceador de carga corretamente para passar adiante o endereço IP do cliente.

Como posso bloquear o endereço IP?

Você deve adicionar o endereço IP mal-intencionado identificado ao firewall ou bloqueá-lo no Exchange.

Por que não consigo ver nenhum item neste relatório?

  • As atividades de início de sessão com falha não estão a exceder as definições de limite.
  • Certifique-se de que nenhum alerta "O serviço de integridade não está atualizado" está ativo na lista de servidores do AD FS. Leia mais sobre como solucionar esse alerta.
  • As auditorias não estão habilitadas em farms do AD FS.

Por que não consigo acessar o relatório?

Você precisa ter permissões de leitor de segurança.

Próximos passos