Pasta de trabalho de relatório IP arriscado

  • Artigo

Nota

Para usar a pasta de trabalho de relatório IP de risco, você deve habilitar 'ADFSSignInLogs' na folha Configurações de diagnóstico. Este é um fluxo do Log Analytics com Entradas do AD FS enviadas para o ID do Microsoft Entra por meio do Connect Health. Para saber mais sobre as entradas do AD FS na ID do Microsoft Entra, consulte a nossa documentação aqui.

Os clientes do AD FS podem expor pontos de extremidade de autenticação de senha à Internet para fornecer serviços de autenticação para que os usuários finais acessem aplicativos SaaS, como o Microsoft 365. Nesse caso, é possível que um agente mal-intencionado tente logins no seu sistema AD FS para adivinhar a senha de um usuário final e obter acesso aos recursos do aplicativo. O AD FS proporciona a funcionalidade de bloqueio de conta de extranet para evitar estes tipos de ataques a partir do AD FS no Windows Server 2012 R2. Se estiver numa versão inferior, recomendamos vivamente que atualize o seu sistema AD FS para o Windows Server 2016.

Além disso, é possível que um único endereço IP tente vários logins contra vários usuários. Nesses casos, o número de tentativas por utilizador poderá estar abaixo do limiar da proteção de bloqueio de conta no AD FS. O Microsoft Entra Connect Health agora fornece o "Relatório de IP de risco" que deteta essa condição e notifica os administradores. Seguem-se as principais vantagens deste relatório:

  • Deteção de endereços IP que excedem um limiar de inícios de sessão baseados em palavra-passe falhados
  • Suporte para inícios de sessão falhados devido a palavra-passe errada ou a estado de bloqueio de extranet
  • Suporta a ativação de alertas através dos Alertas do Azure
  • Definições de limiar personalizáveis que estão em linha com a política de segurança das organizações
  • Consultas personalizáveis e visualizações expandidas para análise adicional
  • Funcionalidade expandida do relatório de IP de risco anterior, que será preterido após 24 de janeiro de 2022.

Requisitos

  1. Conecte a integridade do AD FS instalado e atualizado para o agente mais recente.
  2. Um espaço de trabalho do Log Analytics com o fluxo "ADFSSignInLogs" habilitado.
  3. Permissões para usar as pastas de trabalho do Microsoft Entra ID Monitor. Para usar as Pastas de Trabalho, você precisa:
  • Um locatário do Microsoft Entra com uma licença do Microsoft Entra ID P1 ou P2.
  • Acesso a um espaço de trabalho do Log Analytics e às seguintes funções no Microsoft Entra ID (se acessar o Log Analytics pelo centro de administração do Microsoft Entra): Administrador de segurança, Leitor de segurança, Leitor de relatórios, Administrador global

O que consta do relatório?

A pasta de trabalho de relatório de IP de risco é alimentada a partir de dados no fluxo ADFSSignInLogs e pode visualizar e analisar rapidamente IPs arriscados. Os parâmetros podem ser configurados e personalizados para contagens de limites. A pasta de trabalho também é configurável com base em consultas, e cada consulta pode ser atualizada e modificada com base nas necessidades da organização.

A arriscada pasta de trabalho IP analisa dados do ADFSSignInLogs para ajudá-lo a detetar ataques de spray de senha ou força bruta de senha. A pasta de trabalho tem duas partes. A primeira parte "Análise de IP de risco" identifica endereços IP de risco com base nos limiares de erro designados e no comprimento da janela de deteção. A segunda parte fornece os detalhes de entrada e contagens de erros para IPs selecionados.

Screenshot that a view of the Workbook with locations.

  • O workook exibe uma visualização de mapa e detalhamento de região para uma análise rápida da localização IP de risco.
  • A tabela de detalhes de IP de risco é paralela à funcionalidade do relatório de IP de risco anterior. Para obter detalhes sobre os campos na tabela, consulte a seção abaixo.
  • Linha do tempo IP arriscada exibe uma visualização rápida de quaisquer anomalias ou picos de solicitações em uma visualização de linha do tempo
  • Detalhes de login e contagens de erros por IP permite uma visualização filtrada detalhada por IP ou usuário, para expandir a tabela de detalhes.

Cada item na tabela de relatório de IP de Risco mostra informações agregadas sobre atividades de entrada do AD FS com falha que excedem o limite designado. Fornece as seguintes informações: Screenshot that shows a Risky IP report with column headers highlighted.

Item de Relatório Description
Hora de início da janela de deteção Mostra o carimbo de data/hora com base na hora local do centro de administração do Microsoft Entra quando a janela de hora de deteção é iniciada.
Todos os eventos diários são gerados à meia-noite, no fuso horário UTC.
O carimbo de data/hora dos eventos de hora é arredondado para o início da hora. Pode ver a hora de início da primeira atividade em “firstAuditTimestamp” no ficheiro exportado.
Comprimento da janela de deteção Mostra o tipo da janela de tempo da deteção. Os tipos de acionadores de agregação são horários ou diários. É útil para detetar um ataque de força bruta de frequência elevada por oposição a um ataque lento, em que o número de tentativas é distribuído ao longo do dia.
Endereço IP O endereço IP em risco individual que recebeu atividades de início de sessão com palavra-passe errada ou bloqueio de extranet. Pode ser um endereço IPv4 ou IPv6.
Contagem de erros de senha incorreta (50126) A contagem de erros de Palavra-Passe Errada que ocorreram no endereço IP durante a janela de tempo da deteção. Estes erros podem acontecer várias vezes a determinados utilizadores Observe que isso não inclui tentativas falhadas devido a senhas expiradas.
Contagem de erros de bloqueio de extranet (300030) A contagem de erros de Bloqueio de Extranet que ocorreram no endereço IP durante a janela de tempo da deteção. Os erros de Bloqueio de Extranet podem acontecer várias vezes a determinados utilizadores. Só serão vistos de o Bloqueio de Extranet estiver configurado no AD FS (versões 2012R2 ou superiores). Tenha em atenção que recomendamos vivamente ativar esta funcionalidade caso permita inícios de sessão de extranet através da utilização de palavras-passe.
Unique Users Attempted (Utilizadores Individuais Tentados) A contagem de contas de utilizador individuais tentadas no endereço IP durante a janela de tempo da deteção. Esta contagem proporciona um mecanismo para diferenciar um padrão de ataque a um único utilizador por oposição a um padrão de ataque a vários utilizadores.

Filtre o relatório por endereço IP ou nome de usuário para ver uma exibição expandida dos detalhes de entrada para cada evento IP de risco.

Acessando a pasta de trabalho

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para acessar a pasta de trabalho:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Gerenciamento híbrido de identidade>*Pastas de trabalho de> monitoramento e integridade.>
  3. Selecione a pasta de trabalho Relatório IP de risco.

Endereços IP do balanceador de carga na lista

O balanceador de carga agregou as atividades de início de sessão falhadas e atingiu o limiar de alerta. Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o seu balanceador de carga corretamente para o reencaminhamento do endereço IP do cliente.

Definir configurações de limite

O limiar de alerta pode ser atualizado a partir das Definições do Limiar. Para começar, o sistema tem um limiar predefinido. As configurações de limite podem ser definidas por hora ou dia de deteção e podem ser personalizadas nos filtros.

Threshold Filters

Item do Limiar Description
Senha incorreta + limite de bloqueio da extranet Configuração de limite para relatar a atividade e acionar a notificação de alerta quando a contagem de Senha incorreta mais a contagem de Bloqueio de Extranet a excederem por hora ou dia.
Limite de erro de bloqueio de extranet Configuração de limite para relatar a atividade e acionar a notificação de alerta quando a contagem de Bloqueio de Extranet excedê-la por hora ou dia. O valor padrão é 50.

O comprimento da janela de deteção de hora ou dia pode ser configurado através do botão de alternância acima dos filtros para personalizar os limites.

Configure alertas de notificação usando os Alertas do Azure Monitor por meio do centro de administração do Microsoft Entra:

Azure Alerts Rule

  1. No centro de administração do Microsoft Entra, procure por "Monitor" na barra de pesquisa para navegar até o serviço "Monitor" do Azure. Selecione "Alertas" no menu esquerdo e, em seguida, "+ Nova regra de alerta".

  2. Na folha "Criar regra de alerta":

    • Escopo: Clique em "Selecionar recurso" e selecione seu espaço de trabalho do Log Analytics que contém o ADFSSignInLogs que você deseja monitorar.
    • Condição: Clique em "Adicionar condição". Selecione "Log" para o tipo de sinal e "Log analytics" para o serviço Monitor. Escolha "Pesquisa de log personalizada".

  3. Configure a condição para disparar o alerta. Para corresponder às notificações por e-mail no Relatório de IP de risco do Connect Health, siga as instruções abaixo.

    • Copie e cole a consulta a seguir e especifique os limites de contagem de erros. Esta consulta gera o número de IPs que excedem os limites de erro designados.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

ou para um limiar combinado:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Nota

A lógica de alerta significa que o alerta seria acionado se pelo menos um IP da contagem de erros de bloqueio da extranet ou as contagens combinadas de erros de senha incorreta e bloqueio da extranet excederem os limites designados. Você pode selecionar a frequência para avaliar a consulta para detetar IPs de risco.

FAQ

Por que estou vendo endereços IP do balanceador de carga no relatório?
Se você estiver vendo endereços IP do balanceador de carga, é altamente provável que o balanceador de carga externo não esteja enviando o endereço IP do cliente quando passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o seu balanceador de carga corretamente para o reencaminhamento do endereço IP do cliente.

O que faço para bloquear o endereço IP?
Deve adicionar um endereço IP malicioso identificado à firewall ou bloqueá-lo no Exchange.

Por que razão não vejo quaisquer pontos neste relatório?

  • O fluxo do 'ADFSSignInLogs' Log Analytics não está habilitado nas Configurações de diagnóstico.
  • As atividades de início de sessão falhadas não estão a exceder as definições de limiar.
  • Certifique-se de que nenhum alerta "O serviço de integridade não está atualizado" ativo na lista de servidores do AD FS. Leia mais sobre como solucionar esse alerta
  • As auditorias não estão habilitadas em farms do AD FS.

Próximos passos