Aracılığıyla paylaş


Riskli IP raporu çalışma kitabı

Not

Riskli IP raporu çalışma kitabını kullanmak için Tanılama Ayarları dikey penceresinde 'ADFSSignInLogs' öğesini etkinleştirmeniz gerekir. Bu, Connect Health aracılığıyla Microsoft Entra Id'ye gönderilen AD FS Oturum Açma işlemlerine sahip bir Log Analytics akışıdır. Microsoft Entra Id'de AD FS Oturum Açma işlemleri hakkında daha fazla bilgi edinmek için buradaki belgelerimizi görüntüleyin.

AD FS müşterileri, son kullanıcıların Microsoft 365 gibi SaaS uygulamalarına erişmesi için kimlik doğrulama hizmetleri sağlamak üzere parola kimlik doğrulama uç noktalarını İnternet'te kullanıma sunabilir. Bu durumda, kötü bir aktörün son kullanıcının parolasını tahmin etmek ve uygulama kaynaklarına erişmek için AD FS sisteminizde oturum açmayı denemesi mümkündür. AD FS, Windows Server 2012 R2'de AD FS’den itibaren bu tür saldırıları önlemek için extranet hesap kilitleme işlevselliği sağlamaktadır. Daha düşük bir sürüm kullanıyorsanız, AD FS sisteminizi Windows Server 2016'ya yükseltmenizi kesinlikle öneririz.

Ayrıca, tek bir IP adresinin birden çok kullanıcı için birden çok oturum açmayı denemesi de mümkündür. Böyle durumlarda kullanıcı başına deneme sayısı, AD FS’deki hesap kilitleme korumasına ilişkin eşiğin altında olabilir. Microsoft Entra Connect Health artık bu koşulu algılayan ve yöneticilere bildirimde bulunan "Riskli IP raporu" sağlar. Bu raporun başlıca yararları şunlardır:

  • Parola tabanlı başarısız girişimler eşiğini aşan IP adreslerini algılama
  • Hatalı parola veya extranet kilitleme durumu nedeniyle başarısız olan oturum açma işlemlerini destekler
  • Azure Uyarıları aracılığıyla uyarıları etkinleştirmeyi destekler
  • Bir kuruluşun güvenlik ilkesi ile eşleşen özelleştirilebilir eşik ayarları
  • Daha fazla analiz için özelleştirilebilir sorgular ve genişletilmiş görselleştirmeler
  • 24 Ocak 2022'den sonra kullanımdan kaldırılacak olan önceki Riskli IP raporundan genişletilmiş işlevsellik.

Gereksinimler

  1. Yüklenen ve en son aracıya güncelleştirilen AD FS için Sistem Durumu'na bağlanın.
  2. "ADFSSignInLogs" akışı etkinleştirilmiş bir Log Analytics Çalışma Alanı.
  3. Microsoft Entra ID İzleyici Çalışma Kitaplarını kullanma izinleri. Çalışma Kitaplarını kullanmak için şunları yapmanız gerekir:
  • Microsoft Entra Id P1 veya P2 lisansına sahip bir Microsoft Entra kiracısı.
  • Log Analytics Çalışma Alanına ve Microsoft Entra Id'de aşağıdaki rollere erişim (Log Analytics'e Microsoft Entra yönetim merkezi üzerinden erişiyorsanız): Güvenlik Yöneticisi, Güvenlik Okuyucusu, Rapor Okuyucusu

Raporda ne var?

Riskli IP raporu çalışma kitabı ADFSSignInLogs akışındaki verilerden desteklenir ve riskli IP'leri hızla görselleştirebilir ve analiz edebilir. Parametreler eşik sayıları için yapılandırılabilir ve özelleştirilebilir. Çalışma kitabı sorgulara göre de yapılandırılabilir ve her sorgu kuruluşun ihtiyaçlarına göre güncelleştirilebilir ve değiştirilebilir.

Riskli IP çalışma kitabı, parola spreyi veya parola deneme yanılma saldırılarını algılamanıza yardımcı olmak için ADFSSignInLogs verilerini analiz eder. Çalışma kitabının iki bölümü vardır. İlk bölüm "Riskli IP Analizi", belirlenen hata eşiklerine ve algılama penceresi uzunluğuna göre riskli IP adreslerini tanımlar. İkinci bölüm, seçili IP'ler için oturum açma ayrıntılarını ve hata sayılarını sağlar.

Çalışma kitabının konumlar içeren görünümünü gösteren ekran görüntüsü.

  • İş kancası, riskli IP konumunun hızlı analizi için bir harita görselleştirmesi ve bölge dökümü görüntüler.
  • Riskli IP ayrıntıları tablosu, eski Riskli IP raporunun işlevselliğine paraleldir. Tablodaki alanlarla ilgili ayrıntılar için aşağıdaki bölümü görüntüleyin.
  • Riskli IP zaman çizelgesi, bir zaman çizelgesi görünümünde isteklerdeki anomalilerin veya ani artışların hızlı bir görünümünü görüntüler
  • IP'ye göre oturum açma ayrıntıları ve hata sayıları, IP'ye veya kullanıcıya göre ayrıntılı bir filtrelenmiş görünümün ayrıntılar tablosunu genişletmesine olanak tanır.

Riskli IP rapor tablosundaki her öğe, belirlenen eşiği aşan başarısız AD FS oturum açma etkinlikleri hakkında toplu bilgileri gösterir. Aşağıdaki bilgileri sağlar: Sütun üst bilgilerinin vurgulandığı Riskli IP raporunu gösteren ekran görüntüsü.

Rapor Öğesi Açıklama
Algılama Penceresi Başlangıç Saati Algılama zaman penceresi başlatıldığında Microsoft Entra yönetim merkezi yerel saatini temel alan zaman damgasını gösterir.
Tüm günlük olaylar UTC saat diliminde gece yarısı oluşturulur.
Saatlik olayların zaman damgası saat başına yuvarlanır. dışarı aktarılan dosyada "firstAuditTimestamp" ile ilk etkinlik başlangıç zamanını bulabilirsiniz.
Algılama Penceresi Uzunluğu Algılama zaman penceresinin türünü gösterir. Toplama tetikleyici türleri saat veya gün başınadır. Bu türler, yüksek sıklıktaki bir deneme yanılma saldırısı ile deneme sayısının gün geneline dağıtıldığı yavaş bir saldırı arasında karşılaştırmalı algılamaya yardımcı olur.
IP Adresi Hatalı parola veya extranet kilitleme oturum açma etkinlikleri olan tek riskli IP adresi. Bu bir IPv4 veya IPv6 adresi olabilir.
Hatalı Parola Hata Sayısı (50126) Algılama zaman penceresi boyunca IP adresinden kaynaklanan Hatalı Parola hatalarının sayısı. Hatalı Parola hataları belirli kullanıcılar için birden çok kez gerçekleşebilir. Bu, süresi dolan parolalardan kaynaklanan başarısız denemeleri içermez.
Extranet Kilitleme Hata Sayısı (300030) Algılama zaman penceresi boyunca IP adresinden kaynaklanan Extranet Kilitleme hatalarının sayısı. Extranet Kilitleme hataları belirli kullanıcılar için birden çok kez gerçekleşebilir. Bu durum yalnızca AD FS’de Extranet Kilitleme yapılandırılmışsa (sürüm 2012 R2 veya üstü) görülür. Not Parola kullanarak extranet oturumu açmaya izin veriyorsanız bu özelliği açmanız kesinlikle önerilir.
Deneme Yapan Benzersiz Kullanıcı Sayısı Algılama zaman penceresi boyunca IP adresinden deneme yapan benzersiz kullanıcı hesaplarının sayısı. Tek ullanıcı saldırı deseni ile çoklu kullanıcı saldırı desenini birbirinden ayırt etmeye yönelik bir mekanizma sağlar.

Her riskli IP olayının oturum açma ayrıntılarının genişletilmiş bir görünümünü görmek için raporu IP adresine veya kullanıcı adına göre filtreleyin.

Çalışma kitabına erişme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Çalışma kitabına erişmek için:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
  2. Kimlik>Karma yönetimi> *İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.
  3. Riskli IP raporu çalışma kitabını seçin.

Listedeki yük dengeleyici IP adresleri

Yük dengeleyici, başarısız oturum açma etkinliklerini topladı ve uyarı eşiğine ulaştı. Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. Lütfen, iletme istemci IP adresini geçirmek için yük dengeleyicinizi doğru şekilde yapılandırın.

Eşik ayarlarını yapılandırma

Uyarı eşiği, Eşik Ayarları üzerinden güncelleştirilebilir. Başlangıç için, sistemin varsayılan olarak ayarlanmış bir eşiği vardır. Eşik ayarları saat veya gün algılama saatlerine göre ayarlanabilir ve filtrelerde özelleştirilebilir.

Eşik Filtreleri

Eşik Öğesi Açıklama
Hatalı Parola + Extranet Kilitleme Eşiği Hatalı Parola sayısı artı Extranet Kilitleme sayısı saat veya gün başına aşıldığında etkinliği raporlamak ve uyarı bildirimini tetikleme eşiği ayarı.
Extranet Kilitleme Hatası Eşiği Extranet Kilitleme sayısı saat veya gün başına aşıldığında etkinliği raporlamak ve uyarı bildirimini tetikleme eşiği ayarı. Varsayılan değer 50'dir.

Saat veya Gün algılama penceresi uzunluğu, eşikleri özelleştirmek için filtrelerin üzerindeki iki durumlu düğme aracılığıyla yapılandırılabilir.

Microsoft Entra yönetim merkezi aracılığıyla Azure İzleyici Uyarılarını kullanarak bildirim uyarılarını yapılandırın:

Azure Uyarıları Kuralı

  1. Microsoft Entra yönetim merkezinde, Azure "İzleyici" hizmetine gitmek için arama çubuğunda "İzleyici" araması yapın. Soldaki menüden "Uyarılar"ı ve ardından "+ Yeni uyarı kuralı"nı seçin.
  2. "Uyarı kuralı oluştur" dikey penceresinde:
  • Kapsam: "Kaynağı seç"e tıklayın ve izlemek istediğiniz ADFSSignInLogs'u içeren Log Analytics çalışma alanınızı seçin.
  • Koşul: "Koşul ekle"ye tıklayın. Sinyal türü için "Log" ve İzleyici hizmeti için "Log analytics" seçeneğini belirleyin. "Özel günlük araması" seçeneğini belirleyin.
  1. Uyarıyı tetikleme koşulunu yapılandırın. Sistem Durumu Riskli IP Raporu'ndaki e-posta bildirimlerini eşleştirmek için aşağıdaki yönergeleri izleyin.
  • Aşağıdaki sorguyu kopyalayıp yapıştırın ve hata sayısı eşiklerini belirtin. Bu sorgu, belirlenen hata eşiklerini aşan IP sayısını oluşturur.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here] 

veya birleşik eşik için:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Not

Uyarı mantığı, extranet kilitleme hatalarından en az bir IP'nin sayılması veya hatalı parola ve extranet kilitleme hata sayılarının belirlenen eşikleri aşması durumunda uyarının tetikleneceği anlamına gelir. Riskli IP'leri algılamak için sorguyu değerlendirme sıklığını seçebilirsiniz.

SSS

Neden raporda yük dengeleyici IP adreslerini görüyorum?
Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. Lütfen, iletme istemci IP adresini geçirmek için yük dengeleyicinizi doğru şekilde yapılandırın.

IP adresini engellemek için ne yapmalıyım?
Tanımlanmış kötü amaçlı IP adreslerini güvenlik duvarına eklemeniz veya Exchange’de engellemeniz gerekir.

Bu raporda neden hiç öğe göremiyorum?

  • Tanılama Ayarları'nda 'ADFSSignInLogs' Log Analytics akışı etkinleştirilmedi.
  • Başarısız oturum açma etkinlikleri eşik ayarlarını aşmıyor.
  • AD FS sunucu listenizde "Sistem sağlığı hizmeti güncel değil" uyarısının etkin olmadığından emin olun. Bu uyarıyla ilgili sorunları giderme hakkında daha fazla bilgi edinin
  • AD FS gruplarında denetimler etkinleştirilmez.

Sonraki adımlar