Sešit sestavy rizikových IP adres

  • Článek

Poznámka:

Pokud chcete použít sešit sestavy rizikových IP adres, musíte v okně Diagnostické Nastavení povolit ADFSSignInLogs. Jedná se o datový proud Log Analytics s přihlášeními ad FS odeslanými na ID Microsoft Entra prostřednictvím Připojení Health. Další informace o přihlášeních ke službě AD FS v Microsoft Entra ID najdete v naší dokumentaci tady.

Zákazníci služby AD FS můžou zveřejnit koncové body ověřování hesel na internetu, aby koncovým uživatelům poskytovaly ověřovací služby pro přístup k aplikacím SaaS, jako je Microsoft 365. V tomto případě je možné, že se chybný aktér pokusí o přihlášení k vašemu systému AD FS, aby uhodnul heslo koncového uživatele a získal přístup k prostředkům aplikace. Služba AD FS od verze AD FS ve Windows Serveru 2012 R2 poskytuje funkci uzamčení účtu pro extranet, která brání těmto typům útoku. Pokud používáte nižší verzi, důrazně doporučujeme upgradovat systém AD FS na Windows Server 2016.

Kromě toho je možné, aby se jedna IP adresa pokusila o více přihlášení vůči více uživatelům. V takových případech je možné počet pokusů na jednoho uživatele omezit prahovou hodnotou pro ochranu uzamčení účtu ve službě AD FS. Microsoft Entra Připojení Health nyní poskytuje zprávu o rizikových IP adresách, která detekuje tuto podmínku a upozorní správce. Klíčové výhody této sestavy jsou následující:

  • Detekce IP adres, které překročí prahovou hodnotu neúspěšných pokusů o přihlášení na základě hesla
  • Podpora neúspěšných přihlášení kvůli špatnému heslu nebo kvůli stavu uzamčení extranetu
  • Podporuje povolení upozornění prostřednictvím upozornění Azure.
  • Přizpůsobitelná nastavení prahových hodnot, která odpovídají zásadám zabezpečení organizace
  • Přizpůsobitelné dotazy a rozšířené vizualizace pro další analýzu
  • Rozšířené funkce z předchozí sestavy rizikových IP adres, které budou po 24. lednu 2022 zastaralé.

Požadavky

  1. Připojení Health pro službu AD FS nainstalované a aktualizované na nejnovějšího agenta.
  2. Pracovní prostor služby Log Analytics s povoleným streamem ADFSSignInLogs
  3. Oprávnění k používání sešitů monitorování ID Microsoft Entra. Pokud chcete sešity používat, potřebujete:
  • Tenant Microsoft Entra s licencí Microsoft Entra ID P1 nebo P2.
  • Přístup k pracovnímu prostoru služby Log Analytics a k následujícím rolím v Microsoft Entra ID (pokud přistupujete k Log Analytics prostřednictvím Centra pro správu Microsoft Entra): Správce zabezpečení, Čtenář zabezpečení, Čtenář sestav, Globální správce

Co je v sestavě?

Sešit sestavy rizikových IP adres využívá data ve streamu ADFSSignInLogs a dokáže rychle vizualizovat a analyzovat rizikové IP adresy. Parametry je možné nakonfigurovat a přizpůsobit pro počty prahových hodnot. Sešit je také konfigurovatelný na základě dotazů a každý dotaz je možné aktualizovat a upravit na základě potřeb organizace.

Rizikový sešit PROTOKOLU IP analyzuje data z ADFSSignInLogs, aby vám pomohl rozpoznat útoky hrubou silou hesla nebo útokem hrubou silou hesla. Sešit má dvě části. První část Analýza rizikových IP adres identifikuje rizikové IP adresy na základě určených prahových hodnot chyb a délky intervalu detekce. Druhá část obsahuje podrobnosti o přihlášení a počty chyb pro vybrané IP adresy.

Screenshot that a view of the Workbook with locations.

  • Pracovní úkol zobrazí vizualizaci mapy a rozpis oblastí pro rychlou analýzu rizikového umístění IP adres.
  • Tabulka podrobností o rizikových IP adresách paralelně popisuje funkce minulé sestavy rizikových IP adres. Podrobnosti o polích v tabulce najdete v následující části.
  • Časová osa rizikových IP adres zobrazuje rychlé zobrazení všech anomálií nebo špiček v požadavcích v zobrazení časové osy.
  • Podrobnosti přihlášení a počty chyb podle PROTOKOLU IP umožňují rozbalit podrobnou filtrovanou tabulku IP nebo uživatele.

Každá položka v tabulce sestavy rizikových IP adres zobrazuje agregované informace o neúspěšných aktivitách přihlášení služby AD FS, které překračují určenou prahovou hodnotu. Poskytuje následující informace: Screenshot that shows a Risky IP report with column headers highlighted.

Položky sestavy Popis
Čas spuštění okna detekce Zobrazuje časové razítko založené na místním čase Centra pro správu Microsoft Entra při spuštění časového intervalu detekce.
Všechny denní události se generují o půlnoci UTC.
Hodinové události mají hodnotu časového razítka zaokrouhlenou na celou hodinu. Čas spuštění první aktivity můžete vyhledat v položce firstAuditTimestamp v exportovaném souboru.
Délka okna detekce Ukazuje typ časového intervalu zjišťování. Typ triggeru agregace určuje, jestli se aktivuje každou hodinu nebo každý den. To je užitečně k rozpoznání útoku hrubou silou s vysokou frekvencí od pomalého útoku, při kterém se počet pokusů distribuuje během celého dne.
IP adresa Jedna riziková IP adresa, ze které probíhaly aktivity přihlášení se špatným heslem nebo uzamčením extranetu. Může to být adresa IPv4 nebo IPv6.
Chybný počet chyb hesla (50126) Počet chybných zadání hesla, ke kterým z dané IP adresy došlo během časového intervalu zjišťování. K chybnému zadání hesla může u určitých uživatelů dojít vícekrát. Všimněte si, že to nezahrnuje neúspěšné pokusy kvůli vypršení platnosti hesel.
Počet chyb uzamčení extranetu (300030) Počet chyb uzamčení extranetu, ke kterým z dané IP adresy došlo během časového intervalu zjišťování. K chybám uzamčení extranetu může u určitých uživatelů dojít vícekrát. Tato položka se zobrazí pouze v případě, že je uzamčení extranetu nakonfigurované ve službě AD FS (verze 2012R2 nebo novější). Poznámka: Důrazně doporučujeme tuto funkci zapnout, pokud umožňujete přihlášení pomocí hesel z extranetu.
Počet vyzkoušených jedinečných uživatelů Počet vyzkoušených jedinečných uživatelských účtů, ke kterým z dané IP adresy došlo během časového intervalu zjišťování. Tato položka poskytuje mechanismus pro odlišení vzorce útoku na jednoho uživatele od vzorce útoku na více uživatelů.

Vyfiltrujte sestavu podle IP adresy nebo uživatelského jména, abyste viděli rozšířené zobrazení podrobností o přihlášení pro každou rizikovou událost IP.

Přístup k sešitu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přístup k sešitu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator.
  2. Přejděte do správy hybridní správy> identit>* Sešity monitorování a stavu.>
  3. Vyberte sešit sestavy rizikových IP adres.

IP adresy nástroje pro vyrovnávání zatížení v seznamu

Nástroj pro vyrovnávání zatížení agreguje aktivity přihlášení, které selhaly, a překročení prahové hodnoty výstrahy. Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte ve svém nástroji pro vyrovnávání zatížení správně předávání IP adresy klienta.

Konfigurace nastavení prahové hodnoty

Prahovou hodnotu pro upozornění můžete upravit prostřednictvím nastavení prahových hodnot. Pro začátek má systém nastavené výchozí prahové hodnoty. Nastavení prahové hodnoty je možné nastavit podle hodin nebo denních časů detekce a lze je přizpůsobit ve filtrech.

Threshold Filters

Položka prahové hodnoty Popis
Chybné heslo + Prahová hodnota uzamčení extranetu Nastavení prahové hodnoty pro nahlášení aktivity a aktivaci upozornění, když počet chybných hesel plus počet uzamčení extranetu překročí každou hodinu nebo den.
Prahová hodnota chyby uzamčení extranetu Nastavení prahové hodnoty pro nahlášení aktivity a aktivaci oznámení o upozornění, když počet uzamčení extranetu překročí každou hodinu nebo den. Výchozí hodnota je 50.

Délku okna detekce hodin nebo dnů je možné nakonfigurovat pomocí přepínacího tlačítka nad filtry pro přizpůsobení prahových hodnot.

Konfigurace upozornění oznámení pomocí upozornění služby Azure Monitor prostřednictvím Centra pro správu Microsoft Entra:

Azure Alerts Rule

  1. V Centru pro správu Microsoft Entra vyhledejte na panelu hledání "Monitor" a přejděte do služby Azure Monitor. V nabídce vlevo vyberte "Upozornění" a pak "+ Nové pravidlo upozornění".

  2. V okně Vytvořit pravidlo upozornění:

    • Obor: Klikněte na Vybrat prostředek a vyberte pracovní prostor služby Log Analytics, který obsahuje protokoly ADFSSignInLogs, které chcete monitorovat.
    • Podmínka: Klikněte na Přidat podmínku. Jako typ signálu a Log Analytics pro službu Monitor vyberte Protokol. Zvolte Vlastní prohledávání protokolu.

  3. Nakonfigurujte podmínku pro aktivaci výstrahy. Pokud chcete odpovídat e-mailovým oznámením v sestavě Připojení rizikových IP adres, postupujte podle následujících pokynů.

    • Zkopírujte a vložte následující dotaz a zadejte prahové hodnoty počtu chyb. Tento dotaz vygeneruje počet IP adres, které překračují určené prahové hodnoty chyb.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

nebo pro kombinovanou prahovou hodnotu:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Poznámka:

Logika upozornění znamená, že by se upozornění aktivovalo, pokud alespoň jedna IP adresa z počtu chyb uzamčení extranetu nebo zkombinovala chybné heslo a počty chyb uzamčení extranetu překročily určené prahové hodnoty. Můžete vybrat frekvenci vyhodnocení dotazu a zjistit rizikové IP adresy.

Často kladené dotazy

Proč se v sestavě zobrazují IP adresy nástroje pro vyrovnávání zatížení?
Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte ve svém nástroji pro vyrovnávání zatížení správně předávání IP adresy klienta.

Co mám udělat pro blokování IP adresy?
Zjištěné škodlivé IP adresy byste měli přidat do brány firewall nebo je blokovat v Exchange.

Proč se mi v této sestavě nezobrazují žádné položky?

  • Stream Log Analytics pro ADFSSignInLogs není v diagnostickém Nastavení povolený.
  • Neúspěšné aktivity přihlášení nepřekračují nastavení prahových hodnot.
  • Ujistěte se, že v seznamu serverů SLUŽBY AD FS není aktivní žádná výstraha Health Service není aktuální. Přečtěte si další informace o řešení potíží s tímto upozorněním.
  • Audity nejsou povolené ve farmách SLUŽBY AD FS.

Další kroky