Kockázatos IP-jelentés munkafüzete

  • Cikk
  • 6 perc alatt elolvasható

Megjegyzés

A kockázatos IP-jelentés munkafüzetének használatához engedélyeznie kell az "ADFSSignInLogs" parancsot a Diagnosztikai Gépház panelen. Ez egy Log Analytics-stream, amely az AD FS-t Sign-Ins küldi az Azure AD-nek Csatlakozás Health szolgáltatáson keresztül. Az AD FS Sign-Ins az Azure AD-ben való megismeréséhez tekintse meg itt a dokumentációnkat.

Az AD FS-ügyfelek jelszó-hitelesítési végpontokat tehetnek közzé az interneten, hogy hitelesítési szolgáltatásokat nyújtsanak a végfelhasználók számára az Olyan SaaS-alkalmazások eléréséhez, mint például a Microsoft 365. Ez lehetőséget ad kártékony elemek számára, hogy megkíséreljenek bejelentkezni az AD FS rendszerbe, és találgatással kiderítsék a végfelhasználó jelszavát az alkalmazás-erőforrások elérése érdekében. A Windows Server 2012 R2-n futó AD FS-től kezdve elérhető zárolási funkció az extranet-fiókokhoz az ilyen típusú támadások elkerülése érdekében. Ha korábbi verziót használ, erősen ajánlott AD FS rendszerét Windows Server 2016-ra frissíteni.

Ezenkívül előfordulhat, hogy egy IP-címről többször próbálnak bejelentkezni több felhasználó fiókjába. Ilyen esetekben előfordulhat, hogy az egyes felhasználókat érintő kísérletek száma az AD FS fiókzárolási funkcióját aktiváló küszöbérték alatt marad. Az Azure AD Csatlakozás Health mostantól biztosítja a "kockázatos IP-jelentést", amely észleli ezt a feltételt, és értesíti a rendszergazdákat. A jelentés előnyei a következők:

  • Észleli az IP-címeket, amelyek túllépik a sikertelen jelszóalapú belépési kísérletek küszöbértékét
  • Támogatja a helytelen jelszó megadása vagy az extranet zárolási állapot miatti sikertelen bejelentkezéseket
  • Támogatja a riasztások azure-riasztásokon keresztüli engedélyezését
  • A küszöbérték-beállítások testreszabhatóak, és összehangolhatók a vállalat biztonsági szabályzatával
  • Testre szabható lekérdezések és bővített vizualizációk további elemzéshez
  • Az előző kockázatos IP-jelentés kibővített funkciói, amelyek 2022. január 24. után elavulttá válik.

Követelmények

  1. Csatlakozás AD FS állapota telepítve és frissítve a legújabb ügynökre.
  2. Egy Log Analytics-munkaterület, amelyen engedélyezve van az "ADFSSignInLogs" stream.
  3. Az Azure AD Monitor-munkafüzetek használatára vonatkozó engedélyek. A munkafüzetek használatához a következőkre van szüksége:
  • Egy Azure Active Directory bérlő prémium (P1 vagy P2) licenccel.
  • Hozzáférés Log Analytics-munkaterülethez és a következő szerepkörökhöz az Azure AD-ben (ha a Log Analyticset az Azure AD-portálon keresztül éri el): Biztonsági rendszergazda, biztonsági olvasó, jelentésolvasó, globális rendszergazda

Mi szerepel a jelentésben?

A kockázatos IP-jelentés munkafüzete az ADFSSignInLogs stream adataiból származik, és gyorsan képes megjeleníteni és elemezni a kockázatos IP-címeket. A paraméterek konfigurálhatók és testre szabhatók a küszöbértékek számához. A munkafüzet lekérdezések alapján is konfigurálható, és minden lekérdezés frissíthető és módosítható a szervezet igényeinek megfelelően.

A kockázatos IP-munkafüzet elemzi az ADFSSignInLogs adatait, hogy segítsen észlelni a jelszavas támadásokat vagy a jelszó találgatásos támadásait. A munkafüzet két részből áll. A "Kockázatos IP-elemzés" első rész a kockázatos IP-címeket a kijelölt hibaküszöbök és az észlelési időszak hossza alapján azonosítja. A második rész a kiválasztott IP-címek bejelentkezési adatait és hibaszámát tartalmazza.

Screenshot that a view of the Workbook with locations.

  • A workook térképes vizualizációt és régiólebontást jelenít meg a kockázatos IP-címek gyors elemzéséhez.
  • A kockázatos IP-részletek táblázat párhuzamosul a korábbi kockázatos IP-jelentés funkcióival. A tábla mezőivel kapcsolatos részletekért tekintse meg az alábbi szakaszt.
  • A kockázatos IP-cím idővonala gyors áttekintést ad a kérések rendellenességéről vagy kiugró értékéről az idősornézetben
  • A bejelentkezési adatok és a hibák IP-cím szerinti száma lehetővé teszi, hogy az IP-cím vagy a felhasználó részletes szűrt nézete kibontsa a részleteket tartalmazó táblát.

A Kockázatos IP-cím jelentéstábla minden eleme összesített információkat jelenít meg a sikertelen AD FS bejelentkezési tevékenységekről, amelyek túllépik a kijelölt küszöbértéket. A következő információkat nyújtja: Screenshot that shows a Risky IP report with column headers highlighted.

Jelentéselem Description
Észlelési ablak kezdési időpontja Az észlelési időszak kezdetét jelző, az Azure Portal helyi ideje szerinti időbélyegző.
Az összes napi eseményt UTC szerint éjfélkor állítja elő a rendszer.
Az óránkénti eseményeknél az időbélyeg az óra kezdetére van kerekítve. Az exportált fájlban a „firstAuditTimestamp” érték mutatja az első tevékenység kezdetét.
Észlelési ablak hossza Az észlelési időszak típusa. Az összesítési eseményindítók óránkénti és a napi típusúak lehetnek. Ez hasznos lehet a nagy gyakoriságú találgatásos támadások észlelésére a lassú támadásokkal szemben, ahol a kísérletek eloszlanak egy adott napon belül.
IP-cím Olyan kockázatos IP-cím, amelyről helytelen jelszót adtak meg, vagy amelyen extranet zárolást eredményező bejelentkezési tevékenység volt tapasztalható. Ez lehet IPv4- vagy IPv6-cím.
Hibás jelszóhibák száma (50126) Az IP-címről előforduló helytelen jelszó típusú hibák száma az észlelési időszakban. A helytelen jelszó típusú hiba többször is előfordulhat az egyes felhasználók esetében. Fontos: a lejárt jelszó miatti sikertelen bejelentkezések nem tartoznak ide.
Extranetes zárolási hibák száma (30030) Az IP-címről előforduló extranet zárolási hibák száma az észlelési időszakban. Extranet zárolási hibák többször is előfordulhatnak az egyes felhasználók esetében. Ez csak akkor jelenik meg, ha az AD FS-ben konfigurálta az extranet zárolást (a 2012 R2-es és újabb verziókban). Megjegyzés: Ha a jelszóalapú extranet bejelentkezés engedélyezve van, erősen ajánlott bekapcsolni ezt a funkciót.
Megkísérelt egyedi felhasználók Azon egyedi felhasználói fiókok száma, amelyekbe megkíséreltek bejelentkezni az IP-címről az észlelési időszakban. Ez segíthet megkülönböztetni az egy és a több felhasználó elleni támadásokat.

Szűrje a jelentést IP-cím vagy felhasználónév alapján, és tekintse meg az egyes kockázatos IP-események bejelentkezési részleteinek bővített nézetét.

A munkafüzet elérése

A munkafüzet elérése:

  1. Jelentkezzen be az Azure Portalra.
  2. Lépjen a Azure Active Directory>MonitoringWorkbooks>mappához.
  3. Válassza ki a Kockázatos IP-cím jelentés munkafüzetet.

Terheléselosztó IP-címei a listában

A terheléselosztó összesítési bejelentkezési tevékenységei meghiúsultak, és elérte a riasztási küszöbértéket. Ha terheléselosztói IP-címek jelennek meg, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor továbbítja a webalkalmazás proxykiszolgálójának. Konfigurálja megfelelően a terheléselosztót a továbbított ügyfél IP-címének továbbítására.

Küszöbérték-beállítások konfigurálása

A figyelmeztetési küszöbérték küszöbérték-beállításokban módosítható. A rendszerben be van állítva egy alapértelmezett küszöbérték. A küszöbérték-beállítások óra vagy nap észlelési idő szerint állíthatók be, és a szűrőkben testre szabhatók.

Threshold Filters

Küszöbértékelem Description
Hibás jelszó + extranetes zárolási küszöbérték Küszöbérték-beállítás a tevékenység jelentéséhez és riasztási értesítés aktiválásához, ha a hibás jelszó és az extranetes zárolás száma meghaladja óránként vagy naponta.
Extranetes zárolási hiba küszöbértéke Küszöbérték-beállítás a tevékenység jelentéséhez és riasztási értesítés aktiválásához, ha az extranetes zárolás száma meghaladja óránként vagy naponta. Az alapértelmezett érték 50.

Az óra vagy nap észlelési ablak hossza a szűrők feletti váltógombbal konfigurálható a küszöbértékek testreszabásához.

Értesítési riasztások konfigurálása az Azure Monitor-riasztásokkal az Azure Portalon keresztül:

Azure Alerts Rule

  1. Az Azure Portalon keresse meg a "Monitor" kifejezést a keresősávban az Azure "Monitor" szolgáltatáshoz való navigáláshoz. Válassza a bal oldali menü "Riasztások" elemét, majd az "+ Új riasztási szabály" lehetőséget.
  2. A "Riasztási szabály létrehozása" panelen:
  • Hatókör: Kattintson az "Erőforrás kiválasztása" lehetőségre, és válassza ki a figyelni kívánt ADFSSignInLogs-t tartalmazó Log Analytics-munkaterületet.
  • Feltétel: Kattintson a "Feltétel hozzáadása" elemre. Válassza a "Log" lehetőséget a jeltípushoz, a "Log Analytics" lehetőséget pedig a Monitor szolgáltatáshoz. Válassza az "Egyéni naplókeresés" lehetőséget.
  1. Konfigurálja a riasztás aktiválásának feltételét. Az Csatlakozás Állapotkockázati IP-jelentésben szereplő e-mail-értesítések egyeztetéséhez kövesse az alábbi utasításokat.
    • Másolja és illessze be a következő lekérdezést, és adja meg a hibaszám küszöbértékeit. Ez a lekérdezés a megadott hibaküszöböket túllépő IP-címek számát generálja.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

vagy kombinált küszöbérték esetén:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Megjegyzés

A riasztási logika azt jelenti, hogy a riasztás akkor aktiválódik, ha az extranetes zárolási hibák száma legalább egy IP-cím, vagy a hibás jelszó és az extranetes zárolási hibák száma együttesen meghaladja a kijelölt küszöbértékeket. Kiválaszthatja a lekérdezés kiértékelésének gyakoriságát a kockázatos IP-címek észleléséhez.

GYIK

Miért jelennek meg terheléselosztói IP-címek a jelentésben?
Ha terheléselosztói IP-címek jelennek meg, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor továbbítja a webalkalmazás proxykiszolgálójának. Konfigurálja megfelelően a terheléselosztót a továbbított ügyfél IP-címének továbbítására.

Hogyan blokkolhatok IP-címeket?
Az azonosított kártevő IP-címeket érdemes hozzáadni a tűzfalhoz vagy blokkolni az Exchange-ben.

Miért nem jelenik meg egyetlen elem sem a jelentésben?

  • Az "ADFSSignInLogs" Log Analytics-stream nincs engedélyezve a diagnosztikai Gépház.
  • A sikertelen bejelentkezési tevékenységek nem érték el a beállított küszöbértéket.
  • Ellenőrizze, hogy nincsen-e aktív „Az állapotszolgáltatás nem naprakész” figyelmeztetés az AD FS-kiszolgálók listáján. További információ a riasztás hibaelhárításáról
  • Az AD FS-farmokon nincs engedélyezve a naplózás.

Következő lépések