Werkmap met riskante IP-rapporten
Notitie
Als u de werkmap riskante IP-rapporten wilt gebruiken, moet u ADFSSignInLogs inschakelen op de blade Diagnostische Instellingen. Dit is een Log Analytics-stream met AD FS-aanmeldingen die worden verzonden naar Microsoft Entra ID via Verbinding maken Health. Bekijk onze documentatie hier voor meer informatie over AD FS-aanmeldingen in Microsoft Entra ID.
AD FS-klanten kunnen eindpunten voor wachtwoordverificatie op internet beschikbaar maken om verificatieservices te bieden aan eindgebruikers zodat ze toegang hebben tot SaaS-toepassingen zoals Microsoft 365. In dit geval is het mogelijk dat een slechte actor probeert zich aan te melden bij uw AD FS-systeem om het wachtwoord van een eindgebruiker te raden en toegang te krijgen tot toepassingsbronnen. AD FS biedt de extranetfunctionaliteit voor accountvergrendeling om dergelijke aanvallen te voorkomen vanaf AD FS in Windows Server 2012 R2. Als u een lagere versie gebruikt, raden we u ten zeerste aan uw AD FS-systeem bij te werken naar Windows Server 2016.
Daarnaast is het mogelijk dat één IP-adres meerdere aanmeldingen probeert uit te voeren voor meerdere gebruikers. In dit soort gevallen is het aantal pogingen per gebruiker mogelijk lager dan de drempel voor beveiliging met accountvergrendeling in AD FS. Microsoft Entra Verbinding maken Health biedt nu het 'riskante IP-rapport' waarmee deze voorwaarde wordt gedetecteerd en beheerders wordt geïnformeerd. De belangrijkste voordelen van dit rapport zijn:
- Detectie van IP-adressen die een drempel voor mislukte aanmeldingen op basis van wachtwoord overschrijden
- Ondersteuning voor mislukte aanmeldingen vanwege een onjuist wachtwoord of een vergrendelde status in extranet
- Biedt ondersteuning voor het inschakelen van waarschuwingen via Azure-waarschuwingen
- Aanpasbare drempelwaarde voor afstemming op het beveiligingsbeleid van een organisatie
- Aanpasbare query's en uitgebreide visualisaties voor verdere analyse
- Uitgebreide functionaliteit uit het vorige riskante IP-rapport, dat na 24 januari 2022 wordt afgeschaft.
Vereisten
- Verbinding maken Health voor AD FS geïnstalleerd en bijgewerkt naar de nieuwste agent.
- Een Log Analytics-werkruimte waarvoor de stream ADFSSignInLogs is ingeschakeld.
- Machtigingen voor het gebruik van de Microsoft Entra ID Monitor-werkmappen. Als u Workbooks wilt gebruiken, hebt u het volgende nodig:
- Een Microsoft Entra-tenant met een Microsoft Entra ID P1- of P2-licentie.
- Toegang tot een Log Analytics-werkruimte en de volgende rollen in Microsoft Entra-id (als u Log Analytics opent via het Microsoft Entra-beheercentrum): beveiligingsbeheerder, beveiligingslezer, rapportlezer, globale beheerder
Inhoud van het rapport?
De werkmap riskante IP-rapporten wordt mogelijk gemaakt op basis van gegevens in de ADFSSignInLogs-stroom en kan riskante IP-adressen snel visualiseren en analyseren. De parameters kunnen worden geconfigureerd en aangepast voor drempelwaarden. De werkmap kan ook worden geconfigureerd op basis van query's en elke query kan worden bijgewerkt en gewijzigd op basis van de behoeften van de organisatie.
De riskante IP-werkmap analyseert gegevens van ADFSSignInLogs om u te helpen bij het detecteren van beveiligingsaanvallen op wachtwoorden of beveiligingsaanvallen. De werkmap heeft twee delen. Het eerste deel 'Riskante IP-analyse' identificeert riskante IP-adressen op basis van aangewezen foutdrempels en detectievensterlengte. Het tweede deel bevat de aanmeldingsgegevens en foutaantallen voor geselecteerde IP-adressen.
- De workook geeft een kaartvisualisatie en regio-uitsplitsing weer voor een snelle analyse van riskante IP-locatie.
- Tabel met riskante IP-gegevens parallelleert de functionaliteit van het eerdere riskante IP-rapport. Bekijk de onderstaande sectie voor meer informatie over de velden in de tabel.
- Riskante IP-tijdlijn geeft een snelle weergave weer van eventuele afwijkingen of pieken in aanvragen in een tijdlijnweergave
- Met aanmeldingsgegevens en foutaantallen per IP kan een gedetailleerde gefilterde weergave op IP of gebruiker worden uitgevouwen in de detailtabel.
Elk item in de tabel Riskant IP-rapport bevat geaggregeerde informatie over mislukte AD FS-aanmeldingsactiviteiten die de aangewezen drempelwaarde overschrijden. Het bevat de volgende informatie: 
| Rapportitem | Beschrijving |
|---|---|
| Begintijd detectievenster | Geeft het tijdstempel weer op basis van de lokale tijd van het Microsoft Entra-beheercentrum wanneer het detectietijdvenster wordt gestart. Alle gebeurtenissen per dag worden gegenereerd om 24:00 uur UTC-tijd. Bij gebeurtenissen per uur is het tijdstempel afgerond naar het begin van het uur. U vindt de begintijd van de eerste activiteit vanaf firstAuditTimestamp in het geëxporteerde bestand. |
| Lengte van detectievenster | Geeft het type tijdvenster voor detectie weer. De triggertypen voor aggregatie zijn per uur of per dag. Dit is handig voor het detecteren van een beveiligingsaanval met hoge frequentie en een trage beveiligingsaanval waarbij het aantal pogingen over de dag is verdeeld. |
| IP-adres | Het specifieke riskante IP-adres voor activiteiten met betrekking tot onjuiste wachtwoorden of extranetvergrendeling. Dit kan een IPv4- of een IPv6-adres zijn. |
| Aantal ongeldige wachtwoordfouten (50126) | Het aantal mislukte wachtwoordpogingen vanaf het IP-adres tijdens de detectieperiode. Mislukte wachtwoordpogingen kunnen meerdere keren plaatsvinden bij bepaalde gebruikers. U ziet dat dit geen mislukte pogingen bevat vanwege verlopen wachtwoorden. |
| Aantal extranetvergrendelingsfouten (300030) | Het aantal mislukte extranetvergrendelingen vanaf het IP-adres tijdens de detectieperiode. Mislukte extranetvergrendelingen kunnen meerdere keren plaatsvinden bij bepaalde gebruikers. Dit is alleen zichtbaar als Vergrendeling van het extranet is geconfigureerd in AD FS (versies 2012R2 of hoger). Opmerking: we raden u aan deze functie in te schakelen als u extranetaanmeldingen met wachtwoorden toestaat. |
| Pogingen unieke gebruikersnaam | Het aantal mislukte pogingen met unieke gebruikersnaam vanaf het IP-adres tijdens de detectieperiode. Dit biedt een mechanisme om een aanvalspatroon met een enkele gebruiker van een aanvalspatroon met meerdere gebruikers te onderscheiden. |
Filter het rapport op IP-adres of gebruikersnaam om een uitgebreide weergave van aanmeldingsgegevens te zien voor elke riskante IP-gebeurtenis.
Toegang tot de werkmap
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Ga als volgende te werk om toegang te krijgen tot de werkmap:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteit Beheer istrator.
- Blader naar Hybride>identiteitsbeheer> *Werkmappen voor bewaking en status.>
- Selecteer de werkmap riskante IP-rapporten.
IP-adressen van load balancer in de lijst
Load balancer verzamelt mislukte aanmeldactiviteiten en bereikt de drempelwaarde voor waarschuwingen. Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer de load balancer op een juiste manier om het client-IP-adres door te schakelen.
Drempelwaarde-instellingen configureren
De drempelwaarde voor waarschuwingen kan via de drempelwaarde-instellingen worden bijgewerkt. De drempelwaarde is in het begin standaard ingesteld in het systeem. Drempelwaarde-instellingen kunnen worden ingesteld op uur- of dagdetectietijden en kunnen worden aangepast in de filters.
| Drempelwaarde-item | Beschrijving |
|---|---|
| Drempelwaarde voor ongeldig wachtwoord + extranetvergrendeling | Instelling voor drempelwaarde voor het rapporteren van de activiteit en het activeren van waarschuwingsmeldingen wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen deze per uur of dag overschrijdt. |
| Foutdrempel voor extranetvergrendeling | Drempelwaarde voor het rapporteren van de activiteit en het activeren van waarschuwingsmeldingen wanneer het aantal extranetvergrendelingen per uur of dag wordt overschreden. De standaardwaarde is 50. |
De tijdsduur van het detectievenster uur of dag kan worden geconfigureerd via de wisselknop boven de filters voor het aanpassen van drempelwaarden.
Meldingen configureren met behulp van Azure Monitor-waarschuwingen via het Microsoft Entra-beheercentrum:
Zoek in het Microsoft Entra-beheercentrum naar 'Monitor' in de zoekbalk om naar de Azure Monitor-service te navigeren. Selecteer Waarschuwingen in het linkermenu en vervolgens '+ Nieuwe waarschuwingsregel'.
Op de blade Waarschuwingsregel maken:
- Bereik: klik op Resource selecteren en selecteer uw Log Analytics-werkruimte die de ADFSSignInLogs bevat die u wilt bewaken.
- Voorwaarde: klik op Voorwaarde toevoegen. Selecteer Log voor signaaltype en Log Analytics voor de monitorservice. Kies Aangepast zoeken in logboeken.
Configureer de voorwaarde voor het activeren van de waarschuwing. Volg de onderstaande instructies om de e-mailmeldingen in het Verbinding maken Health Risky IP-rapport te vinden.
- Kopieer en plak de volgende query en geef de drempelwaarden voor het aantal fouten op. Met deze query wordt het aantal IP-adressen gegenereerd dat de opgegeven foutdrempels overschrijdt.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]
of voor een gecombineerde drempelwaarde:
badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds
Notitie
De waarschuwingslogica betekent dat de waarschuwing wordt geactiveerd als ten minste één IP-adres uit het aantal extranetvergrendelingsfouten, of gecombineerde foutaantallen met ongeldig wachtwoord en extranetvergrendeling de opgegeven drempelwaarden overschrijdt. U kunt de frequentie voor het evalueren van de query selecteren om riskante IP-adressen te detecteren.
Veelgestelde vragen
Waarom zie ik IP-adressen van de load balancer in het rapport?
Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer de load balancer op een juiste manier om het client-IP-adres door te schakelen.
Wat moet ik doen om het IP-adres te blokkeren?
Voeg geïdentificeerde schadelijke IP-adressen toe aan de firewall of blokkeer deze in Exchange.
Waarom zie ik geen items in dit rapport?
- De Log Analytics-stream 'ADFSSignInLogs' is niet ingeschakeld in diagnostische Instellingen.
- Het aantal mislukte aanmeldactiviteiten is lager dan de ingestelde drempelwaarde.
- Zorg ervoor dat er geen waarschuwing 'Health-service is niet up-to-date' actief in uw AD FS-serverlijst. Meer informatie over het oplossen van problemen met deze waarschuwing
- Controles zijn niet ingeschakeld in AD FS-farms.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor