Защита многофакторной проверки подлинности на основе телефона (MFA)

Примечание

Эта функция предоставляется в общедоступной предварительной версии.

При использовании многофакторной проверки подлинности (MFA) системы Azure Active Directory (Azure AD) пользователь может выбрать автоматический голосовой вызов по номеру телефона, который он зарегистрировал для подтверждения. Злоумышленник может воспользоваться этим методом, создав несколько учетных записей и инициируя телефонные звонки без завершения процесса регистрации MFA. Такие многократные неудачные попытки входа могут привести к исчерпанию разрешенных попыток регистрации, в результате чего другие пользователи потеряют возможность регистрировать новые учетные записи в арендаторе Azure AD B2C. Для защиты от таких атак можно использовать Azure Monitor, чтобы отслеживать сбои проверки подлинности с помощью телефона и блокировать мошеннические попытки входа.

Предварительные требования

Прежде чем начать, создайте рабочую область Log Analytics.

Создание книги событий MFA с помощью телефона

Репозиторий Отчеты и оповещения Azure AD B2C в GitHub содержит артефакты, которые можно использовать для создания и публикации отчетов, оповещений и панелей мониторинга на основе журналов Azure AD B2C. В черновике книги, показанной ниже, выделены ошибки, связанные с телефоном.

Вкладка "Обзор"

На вкладке Обзор отображается следующая информация:

  • Причины сбоев (общее число неудачных попыток проверки подлинности по телефону для каждой из указанных причин)
  • Заблокировано из-за плохой репутации
  • IP-адрес неудачных попыток проверки подлинности по телефону (общее число неудачных попыток проверки подлинности телефона для каждого из указанных IP-адресов)
  • Номера телефонов с IP-адресом — неудачные попытки проверки подлинности по телефону
  • Браузер (неудачные попытки проверки подлинности по телефону для каждого клиентского браузера)
  • Операционная система (неудачные попытки проверки подлинности по телефону для каждой клиентской ОС)

Вкладка "Обзор"

Вкладка "Подробные сведения"

На вкладке Подробные сведения отображается следующая информация:

  • Политика Azure AD B2C — неудачные попытки проверки подлинности по телефону
  • Неудачные попытки проверки подлинности по телефону по номерам телефонов — временная диаграмма (настраиваемая временная шкала)
  • Неудачные попытки проверки подлинности по телефону по политикам Azure AD B2C — временная диаграмма (настраиваемая временная шкала)
  • Неудачные попытки проверки подлинности по телефону по IP-адресам — временная диаграмма (настраиваемая временная шкала)
  • Выберите номер телефон, чтобы просмотреть сведения об ошибке (выберите номер телефона для просмотра подробного списка неудачных попыток).

Вкладка подробных сведений, 1 из 3

Вкладка подробных сведений, 2 из 3

Вкладка подробных сведений, 3 из 3

Обнаружения мошеннических попыток входа с помощью книги

Книгу можно использовать для анализа событий MFA с использованием телефона и поиска случаев потенциально вредоносного использования телефонного канала.

  1. Чтобы понять, какой сценарий считается нормальным для вашего арендатора, ответьте на такие вопросы:

    • Где находятся регионы, из которых предполагается MFA с использованием телефона?
    • Изучите причины неудачных попыток MFA с использованием телефона: можно ли их считать нормальными и ожидаемыми?
  2. Идентифицируйте характеристики мошеннических попыток регистрации:

    • На основе расположения: изучите неудачные попытки проверки подлинности по телефону по IP-адресам для всех учетных записей, связанных с расположениями, из которых регистрация пользователей не ожидается.

    Примечание

    Указанный IP-адрес соответствует тому или иному региону лишь приблизительно.

    • На основе скорости: проанализируйте неудачные попытки проверки подлинности по телефону в день с номерами телефонов, с которых совершается необычное число таких неудачных попыток проверки в течение дня (от наибольшего числа слева к наименьшему справа).
  3. Чтобы уменьшить количество мошеннических попыток входа, выполните действия, описанные в следующем разделе.

Пресечение мошеннических попыток входа

Чтобы пресечь мошеннические попытки входа, выполните указанные ниже действия.

  • Используйте рекомендованные версии потоков пользователей для выполнения следующих задач:

  • Удалите коды стран, которые не относятся к вашей организации, из раскрывающегося меню, в котором пользователь подтверждает свой номер телефона (это изменение будет применено к последующим попыткам регистрации).

    1. Войдите на портал Azure с правами глобального администратора клиента Azure AD B2C.

    2. Убедитесь, что вы используете каталог, содержащий клиент Azure AD B2C. На панели инструментов портала выберите значок Каталоги и подписки.

    3. В настройках портала на странице Каталоги и подписки найдите свой каталог Azure AD B2C в списке Имя каталога и выберите Переключить.

    4. Выберите Все службы в левом верхнем углу окна портала Azure, найдите службу Azure AD B2C и выберите ее.

    5. Выберите поток пользователя и нажмите Языки. Выберите язык географического расположения своей организации, чтобы открыть панель сведений о языке. В этом примере мы выберем английский язык для США. Выберите Страница многофакторной проверки подлинности и нажмите Скачать значения по умолчанию (EN) .

      Отправка новых переопределенных значений для скачивания значений по умолчанию

    6. Откройте JSON файл, скачанный на предыдущем шаге. В файле найдите DEFAULT и замените эту строку на "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Не забудьте задать для параметра Overrides значение true.

    Примечание

    Список допустимых кодов стран можно настроить в элементе countryList (см. пример страницы проверки подлинности с использованием телефона).

    1. Сохраните файл JSON. На панели сведений о языке в разделе Отправить новые переопределения выберите измененный файл JSON для отправки.

    2. Закройте панель и выберите Выполнить поток пользователя. Убедитесь, в раскрывающемся списке в этом примере доступен только код страны США:

      Раскрывающийся список кода стран

Следующие шаги