Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Nota
Para usar a pasta de trabalho de relatório IP de risco, você deve habilitar 'ADFSSignInLogs' na folha Configurações de diagnóstico. Este é um fluxo do Log Analytics com Inícios de Sessão do AD FS enviados para o Microsoft Entra ID através do Connect Health. Para saber mais sobre os acessos ao AD FS no Microsoft Entra ID, consulte a nossa documentação aqui.
Os clientes do AD FS podem expor pontos de extremidade de autenticação de senha à Internet para fornecer serviços de autenticação para que os usuários finais acessem aplicativos SaaS, como o Microsoft 365. Nesse caso, é possível que um agente mal-intencionado tente fazer logins no seu sistema AD FS para adivinhar a senha de um usuário final e obter acesso aos recursos do aplicativo. O AD FS proporciona a funcionalidade de bloqueio de conta de extranet para evitar estes tipos de ataques a partir do AD FS no Windows Server 2012 R2. Se estiver numa versão inferior, recomendamos vivamente que atualize o seu sistema AD FS para o Windows Server 2016.
Além disso, é possível que um único endereço IP tente vários logins contra vários usuários. Nesses casos, o número de tentativas por utilizador poderá estar abaixo do limiar da proteção de bloqueio de conta no AD FS. O Microsoft Entra Connect Health agora fornece o "Relatório de IP de risco" que deteta essa condição e notifica os administradores. Seguem-se as principais vantagens deste relatório:
- Deteção de endereços IP que excedem um limite de logins falhados baseados em palavra-passe
- Suporta inícios de sessão falhados devido a palavra-passe errada ou ao estado de bloqueio da extranet.
- Suporta a ativação de alertas através dos Alertas do Azure
- Definições de limiar personalizáveis que estão em linha com a política de segurança das organizações
- Consultas personalizáveis e visualizações expandidas para análise adicional
- Funcionalidade expandida do relatório anterior de IP de risco, que será descontinuado após 24 de janeiro de 2022.
Requisitos
- Connect Health para AD FS instalado e atualizado para a versão mais recente do agente.
- Um espaço de trabalho do Log Analytics com o fluxo "ADFSSignInLogs" habilitado.
- Permissões para usar as pastas de trabalho do Microsoft Entra ID Monitor. Para usar as Pastas de Trabalho, você precisa:
- Um inquilino do Microsoft Entra com uma licença Microsoft Entra ID P1 ou P2.
- Acesso a um espaço de trabalho do Log Analytics e às seguintes funções no Microsoft Entra ID (se acessar o Log Analytics por meio do centro de administração do Microsoft Entra): Administrador de segurança, Leitor de segurança, Leitor de relatórios
O que consta do relatório?
O livro de relatórios de IPs de risco baseia-se em dados do stream ADFSSignInLogs e pode visualizar e analisar rapidamente IPs de risco. Os parâmetros podem ser configurados e personalizados para contagens de limites. A pasta de trabalho também é configurável com base em consultas, e cada consulta pode ser atualizada e modificada com base nas necessidades da organização.
A pasta de trabalho para análise de IPs suspeitos analisa dados do ADFSSignInLogs para ajudá-lo a detetar ataques de pulverização de senhas ou de força bruta. A pasta de trabalho tem duas partes. A primeira parte "Análise de IP de risco" identifica endereços IP de risco com base nos limiares de erro designados e no comprimento da janela de deteção. A segunda parte fornece os detalhes de entrada e contagens de erros para IPs selecionados.
- A pasta de trabalho apresenta uma visualização de mapa e um detalhamento regional para uma análise rápida das localizações de IPs de risco.
- A tabela de detalhes de IP de risco reflete a funcionalidade do antigo relatório de IP de risco. Para obter detalhes sobre os campos na tabela, consulte a seção abaixo.
- Linha temporal de IPs arriscados oferece uma visão rápida de quaisquer anomalias ou picos de solicitações num formato de linha do tempo.
- Detalhes de início de sessão e contagens de erros por IP permitem uma visualização filtrada e detalhada por IP ou utilizador, expandindo assim a tabela de detalhes.
Cada item na tabela do relatório de IP arriscado mostra informações agregadas sobre tentativas de início de sessão no AD FS que falharam e que ultrapassam o limite designado. Fornece as seguintes informações: 
| Item de Relatório | Descrição |
|---|---|
| Hora de início da janela de deteção | Mostra o carimbo de data/hora com base na hora local do centro de administração Microsoft Entra quando a janela de tempo de deteção começa. Todos os eventos diários são gerados à meia-noite, no fuso horário UTC. Os eventos horários têm o carimbo de data/hora arredondado para o início da hora. Você pode encontrar a hora de início da primeira atividade em "firstAuditTimestamp" no arquivo exportado. |
| Comprimento da janela de deteção | Mostra o tipo da janela de tempo da deteção. Os tipos de agregação dos acionadores são por hora ou por dia. É útil para detetar um ataque de força bruta de frequência elevada por oposição a um ataque lento, em que o número de tentativas é distribuído ao longo do dia. |
| Endereço IP | O único endereço IP em risco que teve atividades de início de sessão com senha incorreta ou bloqueio de extranet. Pode ser um endereço IPv4 ou IPv6. |
| Contagem de erros de senha incorreta (50126) | A contagem de erros de palavra-passe incorreta que ocorreram no endereço IP durante o período de deteção. Os erros de Senha Incorreta podem acontecer várias vezes a determinados utilizadores. Observe que isso não inclui tentativas falhadas devido a senhas expiradas. |
| Contagem de erros de bloqueio de extranet (300030) | O número de erros de bloqueio na Extranet que ocorreram no endereço IP durante a janela de tempo de deteção. Os erros de Bloqueio de Extranet podem acontecer várias vezes a determinados utilizadores. Isto só será visto se o Bloqueio de Extranet estiver configurado no AD FS (versões 2012R2 ou superiores). Tenha em atenção que recomendamos vivamente ativar esta funcionalidade caso permita inícios de sessão de extranet através da utilização de palavras-passe. |
| Utilizadores Únicos Tentaram | A contagem de tentativas de contas de utilizador únicas a partir do endereço IP durante o período de deteção. Isto fornece um mecanismo para diferenciar um padrão de ataque a um único utilizador versus um padrão de ataque a vários utilizadores. |
Filtre o relatório por endereço IP ou nome de utilizador para ver uma exibição expandida dos detalhes de sessão para cada evento de IP arriscado.
Acessando a pasta de trabalho
Para acessar a pasta de trabalho:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
- Navegue até Entra ID>Monitorização e Saúde>Cadernos de Trabalho.
- Selecione a pasta de trabalho do Relatório de IP Arriscado.
Endereços IP de balanceamento de carga na lista
O balanceador de carga agregou as atividades de início de sessão falhadas e atingiu o limite de alerta. Se estiveres a ver endereços IP do equilibrador de carga, é altamente provável que o equilibrador de carga externo não esteja a enviar o endereço IP do cliente quando passa a solicitação para o servidor Proxy de Aplicações Web. Configure o seu balanceador de carga corretamente para o reencaminhamento do endereço IP do cliente.
Definir configurações de limite
O limiar de alerta pode ser atualizado a partir das Definições do Limiar. Para começar, o sistema tem um limiar predefinido. As configurações de limite podem ser definidas por hora ou dia de deteção e podem ser personalizadas nos filtros.
| Item de Limiar | Descrição |
|---|---|
| Senha incorreta + limite de bloqueio da extranet | Configuração de limite para relatar a atividade e acionar um alerta quando a contagem de Senha inválida somada à contagem de Bloqueio de Extranet exceder o limite, por hora ou dia. |
| Limite de erro de bloqueio de extranet | Definição de limite para reportar a atividade e ativar a notificação de alerta quando a contagem de Bloqueio de Extranet a exceder por hora ou dia. O valor padrão é 50. |
O comprimento da janela de deteção de hora ou dia pode ser configurado através do botão de alternância acima dos filtros para personalizar os limites.
Configurar alertas de notificações usando os alertas do Azure Monitor através do centro de administração do Microsoft Entra:
- No centro de administração do Microsoft Entra, procure por "Monitor" na barra de pesquisa para navegar até o serviço "Monitor" do Azure. Selecione "Alertas" no menu esquerdo e, em seguida, "+ Nova regra de alerta".
- No painel "Criar regra de alerta":
- Escopo: Clique em "Selecionar recurso" e selecione seu espaço de trabalho do Log Analytics que contém o ADFSSignInLogs que você deseja monitorar.
- Condição: Clique em "Adicionar condição". Selecione "Log" para o tipo de sinal e "Log analytics" para o serviço Monitor. Escolha "Pesquisa de log personalizada".
- Configure a condição para disparar o alerta. Para corresponder às notificações por e-mail no Relatório de IP de risco do Connect Health, siga as instruções abaixo.
- Copie e cole a consulta a seguir e especifique os limites de contagem de erros. Esta consulta gera o número de IPs que excedem os limites de erro designados.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]
ou para um limiar combinado:
badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds
Nota
A lógica de alerta significa que o alerta seria acionado se pelo menos um IP da contagem de erros de bloqueio da extranet ou as contagens combinadas de erros de senha incorreta e bloqueio da extranet excederem os limites designados. Você pode selecionar a frequência para avaliar a consulta para detetar IPs de risco.
Perguntas Frequentes
Por que estou vendo endereços IP do balanceador de carga no relatório?
Se estiveres a ver endereços IP do equilibrador de carga, é altamente provável que o equilibrador de carga externo não esteja a enviar o endereço IP do cliente quando passa a solicitação para o servidor Proxy de Aplicações Web. Configure o seu balanceador de carga corretamente para o reencaminhamento do endereço IP do cliente.
O que faço para bloquear o endereço IP?
Deve adicionar o endereço IP malicioso identificado à firewall ou bloqueá-lo no sistema do Exchange.
Por que razão não vejo quaisquer pontos neste relatório?
- O fluxo do 'ADFSSignInLogs' Log Analytics não está habilitado nas Configurações de diagnóstico.
- As atividades de início de sessão com falha não estão a exceder as definições de limite.
- Certifique-se de que nenhum alerta "O serviço de saúde não está atualizado" esteja ativo na lista de servidores do AD FS. Leia mais sobre como solucionar esse alerta
- As auditorias não estão ativadas nas farms do AD FS.