Condividi tramite

Cartella di lavoro del report sugli indirizzi IP rischiosi

  • Articolo

Nota

Per usare la cartella di lavoro del report IP rischioso, è necessario abilitare "ADFSSignInLogs" nel pannello Impostazioni di diagnostica. Si tratta di un flusso di Log Analytics con gli accessi ad AD FS inviati a Microsoft Entra ID tramite Connect Health. Per altre informazioni sugli accessi ad AD FS in Microsoft Entra ID, vedere la documentazione qui.

I clienti con AD FS possono esporre endpoint di autenticazione delle password in Internet per offrire servizi di autenticazione per l'accesso degli utenti finali ad applicazioni SaaS come Microsoft 365. In questo caso, è possibile che un attore non valido tenti di accedere al sistema AD FS per indovinare la password di un utente finale e ottenere l'accesso alle risorse dell'applicazione. A partire da AD FS in Windows Server 2012 R2, AD FS offre la funzionalità di blocco account Extranet per impedire questi tipi di attacchi. Se si usa una versione precedente, è consigliabile eseguire l'aggiornamento del sistema AD FS a Windows Server 2016.

È anche possibile che un singolo indirizzo IP esegua più tentativi di accesso per più utenti. In questi casi, il numero di tentativi per utente potrebbe essere al di sotto della soglia della protezione del blocco account in AD FS. Microsoft Entra Connect Health fornisce ora il "report IP rischioso" che rileva questa condizione e notifica agli amministratori. Di seguito sono riportati i vantaggi principali di questo report:

  • Rilevamento degli indirizzi IP che superano una soglia di accessi basati su password non riusciti
  • Supporto per accessi non riusciti a causa di password errata o dello stato di blocco Extranet
  • Supporta l'abilitazione degli avvisi tramite Avvisi di Azure
  • Impostazioni di soglia personalizzabili corrispondenti ai criteri di sicurezza di un'organizzazione
  • Query personalizzabili e visualizzazioni espanse per un'ulteriore analisi
  • Funzionalità espanse del report IP rischiosi precedente, che verrà deprecato dopo il 24 gennaio 2022.

Requisiti

  1. Connect Health per AD FS installato e aggiornato all'agente più recente.
  2. Area di lavoro Log Analytics con il flusso "ADFSSignInLogs" abilitato.
  3. Autorizzazioni per l'uso delle cartelle di lavoro di Microsoft Entra ID Monitor. Per usare le cartelle di lavoro, è necessario disporre degli elementi riportati di seguito:
  • Un tenant di Microsoft Entra con una licenza P1 o P2 di Microsoft Entra ID.
  • Accesso a un'area di lavoro Log Analytics e ai ruoli seguenti in Microsoft Entra ID (se si accede a Log Analytics tramite l'interfaccia di amministrazione di Microsoft Entra): Amministratore della sicurezza, Lettore di sicurezza, Lettore report

Cos'è contenuto nel report?

La cartella di lavoro del report IP rischiosi è basata sui dati nel flusso ADFSSignInLogs e può visualizzare e analizzare rapidamente gli IP rischiosi. I parametri possono essere configurati e personalizzati per i conteggi delle soglie. La cartella di lavoro è configurabile anche in base alle query e ogni query può essere aggiornata e modificata in base alle esigenze dell'organizzazione.

La cartella di lavoro IP rischiosi analizza i dati di ADFSSignInLogs per rilevare attacchi di password spraying o forza bruta. La cartella di lavoro ha due parti. La prima parte "Analisi IP rischiosi" identifica gli indirizzi IP rischiosi in base alle soglie di errore designate e alla lunghezza della finestra di rilevamento. La seconda parte fornisce i dettagli di accesso e i conteggi degli errori per gli indirizzi IP selezionati.

Screenshot che mostra la cartella di lavoro con i percorsi.

  • La cartella di lavoro mostra una visualizzazione mappa e una suddivisione dell'area per un'analisi rapida della posizione degli IP rischiosi.
  • La tabella dettagli IP rischiosi riflette la funzionalità del report IP rischiosi passato. Per informazioni dettagliate sui campi nella tabella, vedere la sezione seguente.
  • Sequenza temporale IP rischiosi visualizza una rapida visualizzazione di eventuali anomalie o picchi nelle richieste in una visualizzazione sequenza temporale
  • I dettagli di accesso e i conteggi degli errori per IP consentono una visualizzazione filtrata dettagliata per IP o utente, da espandere nella tabella dei dettagli.

Ogni elemento nella tabella del report sugli indirizzi IP rischiosi mostra informazioni aggregate sulle attività di accesso ad AD FS non riuscite che superano la soglia designata. Fornisce le informazioni seguenti: Screenshot che mostra un report sugli IP rischiosi con intestazioni di colonna evidenziate.

Elemento del report Descrizione
Ora di avvio della finestra di rilevamento Mostra il timestamp corrispondente all'inizio dell'intervallo di tempo di rilevamento, in base all'ora locale dell'Interfaccia di amministrazione di Microsoft Entra.
Tutti gli eventi giornalieri vengono generati a mezzanotte nel fuso orario UTC.
Il timestamp degli eventi orari viene arrotondato all'inizio dell'ora. È possibile trovare la prima ora di inizio dell'attività da "firstAuditTimestamp" nel file esportato.
Lunghezza intervallo di rilevamento Mostra il tipo di intervallo di tempo di rilevamento. I tipi di trigger di aggregazione sono su base oraria o giornaliera. Questo è utile per il rilevamento rispetto a un attacco di forza bruta con frequenza elevata e rispetto a un attacco lento in cui il numero di tentativi è distribuito durante il giorno.
Indirizzo IP Il singolo indirizzo IP rischioso con attività di accesso con password errata o blocco Extranet. Potrebbe essere un indirizzo IPv4 o IPv6.
Numero errori di password errata (50126) Il numero di errori di password errata provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Gli errori di password errata possono verificarsi più volte per determinati utenti. Si noti che non sono inclusi i tentativi non riusciti a causa di password scadute.
Numero errori di blocco Extranet (300030) Il numero di errori di blocco Extranet provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Gli errori di blocco Extranet possono verificarsi più volte per determinati utenti. Questo verrà rilevato solo se il blocco Extranet è configurato in AD FS (versione 2012R2 o successiva). Nota: se si consentono accessi Extranet con password, è consigliabile attivare questa funzionalità.
Tentativi con utenti univoci Il numero di tentativi riguardanti utenti univoci provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento. Questo offre un meccanismo per distinguere uno schema di attacco a utente singolo da uno schema di attacco multiutente.

Filtrare il report in base all'indirizzo IP o al nome utente per ottenere una visualizzazione estesa dei dettagli degli accessi per ogni evento IP rischioso.

Accesso alla cartella di lavoro

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per accedere alla cartella di lavoro:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida> *Monitoraggio e integrità>Cartelle di lavoro.
  3. Selezionare la cartella di lavoro del report sugli indirizzi IP rischiosi.

Indirizzi IP del servizio di bilanciamento del carico nell'elenco

Attività di accesso aggregate non riuscite del servizio di bilanciamento del carico, con raggiungimento della soglia di avviso. Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web. Configurare il servizio di bilanciamento del carico correttamente in modo da passare l'indirizzo IP del client di inoltro.

Configurare le impostazioni di soglia

La soglia di avviso può essere aggiornata tramite le impostazioni di soglia. Per iniziare, il sistema prevede un'impostazione predefinita della soglia. Le impostazioni di soglia possono essere configurate in base all'ora o all'ora di rilevamento del giorno e possono essere personalizzate nei filtri.

Filtri di soglia

Elemento soglia Descrizione
Password non valida e soglia di blocco Extranet Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di password errata e il numero di errori di blocco Extranet superano tale valore in un'ora o giorno.
Soglia per errori Blocco Extranet Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di blocco Extranet supera tale valore in un'ora o giorno. Il valore predefinito è 50.

La lunghezza della finestra di rilevamento Ora o Giorno può essere configurata tramite l'interruttore sopra i filtri per personalizzare le soglie.

Configurare gli avvisi di notifica usando gli avvisi di Monitoraggio di Azure tramite l'Interfaccia di amministrazione di Microsoft Entra:

Regole degli avvisi di Azure

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare "Monitoraggio" nella barra di ricerca per passare al servizio "Monitoraggio di Azure". Selezionare "Avvisi" dal menu a sinistra, quindi "+ Nuova regola di avviso".
  2. Nel pannello "Crea regola di avviso":
  • Ambito: fare clic su "Seleziona risorsa" e selezionare l'area di lavoro Log Analytics che contiene adFSSignInLogs da monitorare.
  • Condizione: fare clic su "Aggiungi condizione". Selezionare "Log" per Tipo di segnale e "Log Analytics" per Il servizio Monitoraggio. Scegliere "Ricerca log personalizzata".
  1. Configurare la condizione per l'attivazione dell'avviso. Per trovare le corrispondenze con le notifiche e-mail nel report IP rischiosi di Connect Health, seguire le istruzioni riportate di seguito.
  • Copiare e incollare la query seguente e specificare le soglie del numero di errori. Questa query genera il numero di indirizzi IP che superano le soglie di errore designate.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

o per una soglia combinata:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Nota

La logica di avviso indica che l'avviso viene attivato se almeno un indirizzo IP del conteggio degli errori di blocco extranet o il numero combinato di errori di blocco di extranet e password non valida e il numero di errori di blocco extranet superano le soglie designate. È possibile selezionare la frequenza per la valutazione della query per rilevare gli indirizzi IP rischiosi.

Domande frequenti

Perché nel report sono inclusi indirizzi IP del servizio di bilanciamento del carico?
Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web. Configurare il servizio di bilanciamento del carico correttamente in modo da passare l'indirizzo IP del client di inoltro.

Come si può bloccare l'indirizzo IP?
È consigliabile aggiungere l'indirizzo IP dannoso identificato al firewall o al blocco in Exchange.

Perché non vengono visualizzati elementi nel report?

  • Il flusso di Log Analytics "ADFSSignInLogs" non è abilitato in Impostazioni di diagnostica.
  • Le attività di accesso non riuscite non superano le impostazioni di soglia.
  • Assicurarsi che non sia attivo alcun avviso "Servizio integrità non aggiornato" nell'elenco dei server AD FS. Vedere altre informazioni su come risolvere i problemi relativi a questo avviso
  • I controlli non sono abilitati nelle farm AD FS.

Passaggi successivi