Kockázatos IP-jelentés munkafüzete

  • Cikk

Megjegyzés:

A Kockázatos IP-jelentés munkafüzet használatához engedélyeznie kell az "ADFSSignInLogs" elemet a Diagnosztikai Gépház panelen. Ez egy Log Analytics-stream, amely AD FS-bejelentkezéseket küld a Microsoft Entra ID-nak Csatlakozás Health szolgáltatáson keresztül. Ha többet szeretne megtudni az AD FS-bejelentkezésekről a Microsoft Entra ID-ban, tekintse meg dokumentációnkat itt.

Az AD FS-ügyfelek jelszóhitelesítési végpontokat tehetnek közzé az interneten, hogy hitelesítési szolgáltatásokat nyújtsanak a végfelhasználók számára az SaaS-alkalmazások, például a Microsoft 365 eléréséhez. Ebben az esetben előfordulhat, hogy egy rossz szereplő megpróbál bejelentkezni az AD FS-rendszeren, hogy kitalálja a végfelhasználó jelszavát, és hozzáférjen az alkalmazás erőforrásaihoz. A Windows Server 2012 R2-n futó AD FS-től kezdve elérhető zárolási funkció az extranet-fiókokhoz az ilyen típusú támadások elkerülése érdekében. Ha alacsonyabb verzióval rendelkezik, javasoljuk, hogy frissítse az AD FS-rendszert Windows Server 2016-ra.

Emellett egyetlen IP-cím több felhasználóval is megkísérelhet több bejelentkezést. Ilyen esetekben előfordulhat, hogy az egyes felhasználókat érintő kísérletek száma az AD FS fiókzárolási funkcióját aktiváló küszöbérték alatt marad. A Microsoft Entra Csatlakozás Health mostantól biztosítja a "kockázatos IP-jelentést", amely észleli ezt a feltételt, és értesíti a rendszergazdákat. A jelentés előnyei a következők:

  • Észleli az IP-címeket, amelyek túllépik a sikertelen jelszóalapú belépési kísérletek küszöbértékét
  • Támogatja a helytelen jelszó megadása vagy az extranet zárolási állapot miatti sikertelen bejelentkezéseket
  • Támogatja a riasztások azure-riasztásokon keresztüli engedélyezését
  • A küszöbérték-beállítások testreszabhatóak, és összehangolhatók a vállalat biztonsági szabályzatával
  • Testre szabható lekérdezések és bővített vizualizációk további elemzéshez
  • Az előző kockázatos IP-jelentés bővített funkciói, amelyek 2022. január 24. után megszűnnek.

Requirements

  1. Csatlakozás Health for AD FS telepítve és frissítve a legújabb ügynökre.
  2. Egy Log Analytics-munkaterület, amelyen engedélyezve van az "ADFSSignInLogs" stream.
  3. A Microsoft Entra ID Monitor-munkafüzetek használatára vonatkozó engedélyek. A munkafüzetek használatához a következőkre van szüksége:
  • Microsoft Entra-bérlő P1 vagy P2 azonosítójú Microsoft Entra-licenccel.
  • Hozzáférés a Log Analytics-munkaterülethez és a következő szerepkörökhöz a Microsoft Entra-azonosítóban (ha a Log Analyticshez a Microsoft Entra felügyeleti központban keresztül fér hozzá): Biztonsági rendszergazda, biztonsági olvasó, jelentésolvasó, globális rendszergazda

Mi szerepel a jelentésben?

A kockázatos IP-jelentés munkafüzete az ADFSSignInLogs stream adataiból származik, és gyorsan képes megjeleníteni és elemezni a kockázatos IP-címeket. A paraméterek konfigurálhatók és testre szabhatók a küszöbértékek számához. A munkafüzet lekérdezések alapján is konfigurálható, és minden lekérdezés frissíthető és módosítható a szervezet igényei szerint.

A kockázatos IP-munkafüzet az ADFSSignInLogs adatainak elemzésével segít észlelni a jelszópermet- vagy jelszó-találgatásos támadásokat. A munkafüzet két részből áll. A "Kockázatos IP-elemzés" első része a kockázatos IP-címeket azonosítja a kijelölt hibaküszöbök és az észlelési időszak hossza alapján. A második rész a kiválasztott IP-címek bejelentkezési adatait és hibaszámait tartalmazza.

Screenshot that a view of the Workbook with locations.

  • A workook térképvizualizációt és régiólebontást jelenít meg a kockázatos IP-címek gyors elemzéséhez.
  • A kockázatos IP-adatok táblázata párhuzamos a korábbi kockázatos IP-jelentés funkcióival. A táblázat mezőinek részleteiért tekintse meg az alábbi szakaszt.
  • A kockázatos IP-idősor gyorsnézetet jelenít meg az ütemterv nézetben megjelenő kérések esetleges rendellenességéről vagy kiugró értékéről
  • A bejelentkezési adatok és a hibák száma IP-cím alapján lehetővé teszi, hogy az IP-cím vagy a felhasználó által szűrt részletes nézet kibontsa a részleteket tartalmazó táblát.

A Kockázatos IP-jelentés tábla minden eleme összesített információkat jelenít meg a sikertelen AD FS bejelentkezési tevékenységekről, amelyek túllépik a kijelölt küszöbértéket. A következő információkat nyújtja: Screenshot that shows a Risky IP report with column headers highlighted.

Jelentéselem Leírás
Észlelési ablak kezdési ideje Az észlelési időablak kezdetekor a Microsoft Entra felügyeleti központ helyi időbélyege alapján jeleníti meg az időbélyeget.
Az összes napi eseményt UTC szerint éjfélkor állítja elő a rendszer.
Az óránkénti eseményeknél az időbélyeg az óra kezdetére van kerekítve. Az exportált fájlban a „firstAuditTimestamp” érték mutatja az első tevékenység kezdetét.
Észlelési ablak hossza Az észlelési időszak típusa. Az összesítési eseményindítók óránkénti és a napi típusúak lehetnek. Ez hasznos lehet a nagy gyakoriságú találgatásos támadások észlelésére a lassú támadásokkal szemben, ahol a kísérletek eloszlanak egy adott napon belül.
IP Address Olyan kockázatos IP-cím, amelyről helytelen jelszót adtak meg, vagy amelyen extranet zárolást eredményező bejelentkezési tevékenység volt tapasztalható. Ez lehet egy IPv4-cím vagy egy IPv6-cím.
Hibás jelszóhibák száma (50126) Az IP-címről előforduló helytelen jelszó típusú hibák száma az észlelési időszakban. A helytelen jelszó típusú hiba többször is előfordulhat az egyes felhasználók esetében. Figyelje meg, hogy ez nem tartalmazza a lejárt jelszavak miatt meghiúsult kísérleteket.
Extranet lock out error count (300030) Az IP-címről előforduló extranet zárolási hibák száma az észlelési időszakban. Extranet zárolási hibák többször is előfordulhatnak az egyes felhasználók esetében. Ez csak akkor jelenik meg, ha az AD FS-ben konfigurálta az extranet zárolást (a 2012 R2-es és újabb verziókban). Megjegyzés: Ha a jelszóalapú extranet bejelentkezés engedélyezve van, erősen ajánlott bekapcsolni ezt a funkciót.
Megkísérelt egyedi felhasználók Azon egyedi felhasználói fiókok száma, amelyekbe megkíséreltek bejelentkezni az IP-címről az észlelési időszakban. Ez segíthet megkülönböztetni az egy és a több felhasználó elleni támadásokat.

Szűrje a jelentést IP-cím vagy felhasználónév alapján, hogy az egyes kockázatos IP-események bejelentkezési adatainak kibontott nézetét láthassa.

A munkafüzet elérése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A munkafüzet elérése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
  2. Keresse meg a hibrid identitáskezelés>> *Figyelési és állapotfüzeteket.>
  3. Válassza ki a Kockázatos IP-jelentés munkafüzetet.

Terheléselosztó IP-címei a listában

A terheléselosztó összesítési bejelentkezési tevékenységei meghiúsultak, és elérte a riasztási küszöbértéket. Ha terheléselosztó IP-címeket lát, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor átadja a kérést a webes alkalmazásproxy-kiszolgálónak. Konfigurálja megfelelően a terheléselosztót a továbbított ügyfél IP-címének továbbítására.

Küszöbérték-beállítások konfigurálása

A figyelmeztetési küszöbérték küszöbérték-beállításokban módosítható. A rendszerben be van állítva egy alapértelmezett küszöbérték. A küszöbérték-beállítások óra vagy nap észlelési idő szerint állíthatók be, és testre szabhatók a szűrőkben.

Threshold Filters

Küszöbértékelem Leírás
Hibás jelszó + extranetes zárolási küszöbérték Küszöbérték-beállítás a tevékenység jelentésére és riasztási értesítés aktiválására, ha a hibás jelszó és az extranetes zárolás száma meghaladja óránként vagy naponta.
Extranetes zárolási hiba küszöbértéke Küszöbérték-beállítás a tevékenység jelentésére és riasztási értesítés aktiválására, ha az extranetes zárolás száma meghaladja óránként vagy naponként. Az alapértelmezett érték 50.

Az óra- vagy napfelismerési ablak hossza a küszöbértékek testreszabására szolgáló szűrők fölötti váltógombbal konfigurálható.

Értesítési riasztások konfigurálása az Azure Monitor-riasztásokkal a Microsoft Entra felügyeleti központban:

Azure Alerts Rule

  1. A Microsoft Entra Felügyeleti központban keressen rá a "Monitor" kifejezésre a keresősávban az Azure "Monitor" szolgáltatáshoz való navigáláshoz. Válassza a "Riasztások" lehetőséget a bal oldali menüben, majd az "+ Új riasztási szabály" lehetőséget.

  2. A "Riasztási szabály létrehozása" panelen:

    • Hatókör: Kattintson az "Erőforrás kiválasztása" elemre, és válassza ki a figyelni kívánt ADFSSignInLogs-t tartalmazó Log Analytics-munkaterületet.
    • Feltétel: Kattintson a "Feltétel hozzáadása" elemre. Válassza a "Log" (Log) lehetőséget a Jeltípus és a "Log Analytics" (Log analytics) elemet a Monitor szolgáltatáshoz. Válassza az "Egyéni naplókeresés" lehetőséget.

  3. Konfigurálja a riasztás aktiválásának feltételét. Az Csatlakozás Állapotkockázati IP-jelentésben szereplő e-mail-értesítések egyeztetéséhez kövesse az alábbi utasításokat.

    • Másolja és illessze be a következő lekérdezést, és adja meg a hibaszám küszöbértékeit. Ez a lekérdezés azon IP-címek számát hozza létre, amelyek túllépik a kijelölt hibaküszöböket.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

vagy kombinált küszöbérték esetén:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Megjegyzés:

A riasztási logika azt jelenti, hogy a riasztás akkor aktiválódik, ha legalább egy IP-cím az extranetes zárolási hibaszámból származik, vagy ha a hibás jelszó és az extranetes zárolási hibák száma meghaladja a kijelölt küszöbértékeket. A kockázatos IP-címek észleléséhez kiválaszthatja a lekérdezés kiértékelésének gyakoriságát.

GYIK

Miért jelenik meg a terheléselosztó IP-címe a jelentésben?
Ha terheléselosztó IP-címeket lát, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor átadja a kérést a webes alkalmazásproxy-kiszolgálónak. Konfigurálja megfelelően a terheléselosztót a továbbított ügyfél IP-címének továbbítására.

Mit tegyek az IP-cím letiltásához?
Az azonosított kártevő IP-címeket érdemes hozzáadni a tűzfalhoz vagy blokkolni az Exchange-ben.

Miért nem látok elemeket ebben a jelentésben?

  • Az "ADFSSignInLogs" Log Analytics-stream nincs engedélyezve a diagnosztikai Gépház.
  • A sikertelen bejelentkezési tevékenységek nem érték el a beállított küszöbértéket.
  • Győződjön meg arról, hogy az AD FS-kiszolgálólistában nincs aktív "Az állapotszolgáltatás nem naprakész" riasztás. További információ a riasztás hibaelhárításáról
  • Az AD FS-farmokban nincs engedélyezve a naplózás.

További lépések