Delen via

Werkmap voor riskovolle IP-rapporten

  • Artikel

Notitie

Als u de werkmap 'Risky IP report' wilt gebruiken, moet u 'ADFSSignInLogs' inschakelen in de blade Diagnostische instellingen. Dit is een Log Analytics-stream met AD FS-aanmeldingen die worden verzonden naar Microsoft Entra ID via Connect Health. Bekijk onze documentatie hier voor meer informatie over AD FS-aanmeldingen in Microsoft Entra ID.

AD FS-klanten kunnen eindpunten voor wachtwoordverificatie op internet beschikbaar maken om verificatieservices te bieden aan eindgebruikers zodat ze toegang hebben tot SaaS-toepassingen zoals Microsoft 365. In dit geval is het mogelijk dat een slechte actor probeert zich aan te melden bij uw AD FS-systeem om het wachtwoord van een eindgebruiker te raden en toegang te krijgen tot toepassingsbronnen. AD FS biedt de extranetfunctionaliteit voor accountvergrendeling om dergelijke aanvallen te voorkomen vanaf AD FS in Windows Server 2012 R2. Als u een lagere versie gebruikt, raden we u ten zeerste aan uw AD FS-systeem bij te werken naar Windows Server 2016.

Daarnaast is het mogelijk dat één IP-adres meerdere aanmeldingen probeert uit te voeren voor meerdere gebruikers. In dit soort gevallen is het aantal pogingen per gebruiker mogelijk lager dan de drempel voor beveiliging met accountvergrendeling in AD FS. Microsoft Entra Connect Health biedt nu het 'riskante IP-rapport' waarmee deze voorwaarde wordt gedetecteerd en beheerders wordt geïnformeerd. De belangrijkste voordelen van dit rapport zijn:

  • Detectie van IP-adressen die een drempel voor mislukte aanmeldingen op basis van wachtwoord overschrijden
  • Ondersteuning voor mislukte aanmeldingen vanwege een onjuist wachtwoord of een vergrendelde status in extranet
  • Biedt ondersteuning voor het inschakelen van waarschuwingen via Azure-waarschuwingen
  • Aanpasbare drempelwaarde voor afstemming op het beveiligingsbeleid van een organisatie
  • Aanpasbare query's en uitgebreide visualisaties voor verdere analyse
  • Uitgebreide functionaliteit uit het vorige riskante IP-rapport, dat na 24 januari 2022 wordt afgeschaft.

Vereisten

  1. Connect Health voor AD FS geïnstalleerd en bijgewerkt naar de nieuwste agent.
  2. Een Log Analytics-werkruimte waarvoor de stream ADFSSignInLogs is ingeschakeld.
  3. Machtigingen voor het gebruik van de Microsoft Entra ID Monitor-werkmappen. Als u Workbooks wilt gebruiken, hebt u het volgende nodig:
  • Een Microsoft Entra-tenant met een Microsoft Entra ID P1- of P2-licentie.
  • Toegang tot een Log Analytics-werkruimte en de volgende rollen in Microsoft Entra-id (als u Log Analytics opent via het Microsoft Entra-beheercentrum): Beveiligingsbeheerder, Beveiligingslezer, Rapportlezer

Inhoud van het rapport?

De werkmap riskante IP-rapporten wordt mogelijk gemaakt op basis van gegevens in de ADFSSignInLogs-stroom en kan riskante IP-adressen snel visualiseren en analyseren. De parameters kunnen worden geconfigureerd en aangepast voor drempeltellingen. De werkmap kan ook worden geconfigureerd op basis van query's en elke query kan worden bijgewerkt en gewijzigd op basis van de behoeften van de organisatie.

De risico-IP-werkmap analyseert gegevens van ADFSSignInLogs om u te helpen bij het detecteren van password spray- of password brute force-aanvallen. De werkmap heeft twee onderdelen. Het eerste deel 'Riskante IP-analyse' identificeert riskante IP-adressen op basis van aangewezen foutdrempels en detectievensterlengte. Het tweede deel bevat de aanmeldingsgegevens en foutaantallen voor geselecteerde IP-adressen.

Schermopname van een overzicht van de werkmap met locaties.

  • De workook geeft een kaartvisualisatie en regio-uitsplitsing weer voor een snelle analyse van riskante IP-locatie.
  • Tabel met riskante IP-gegevens parallelleert de functionaliteit van het eerdere riskante IP-rapport. Bekijk de onderstaande sectie voor meer informatie over de velden in de tabel.
  • Riskante IP-tijdlijn geeft een snelle weergave weer van eventuele afwijkingen of pieken in aanvragen in een tijdlijnweergave
  • Met aanmeldingsgegevens en foutaantallen per IP kan een gedetailleerde gefilterde weergave per IP of gebruiker worden weergegeven om de detailgegevens verder te onderzoeken.

Elk item in de tabel Riskant IP-rapport bevat geaggregeerde informatie over mislukte AD FS-aanmeldingsactiviteiten die de aangewezen drempelwaarde overschrijden. Het bevat de volgende informatie: Screenshot van een rapport van een riskant IP-adres met gemarkeerde kolomkoppen.

Rapportitem Beschrijving
Begintijd detectievenster Geeft het tijdstempel weer op basis van de lokale tijd van het Microsoft Entra-beheercentrum wanneer het detectietijdvenster wordt gestart.
Alle gebeurtenissen per dag worden gegenereerd om 24:00 uur UTC-tijd.
Bij gebeurtenissen per uur wordt het tijdstempel afgerond naar het begin van het uur. U vindt de begintijd van de eerste activiteit vanuit firstAuditTimestamp in het geëxporteerde bestand.
Lengte van detectievenster Geeft het type tijdvenster voor detectie weer. De triggertypen voor aggregatie zijn per uur of per dag. Dit is nuttig voor het detecteren van een brute force aanval met hoge frequentie versus een langzame aanval waarbij het aantal pogingen door de dag heen is verspreid.
IP-adres Het enige riskante IP-adres dat activiteiten had met ofwel onjuiste wachtwoorden of extranetvergrendeling inlogactiviteiten. Dit kan een IPv4- of een IPv6-adres zijn.
Aantal ongeldige wachtwoordfouten (50126) Het aantal mislukte wachtwoordpogingen vanaf het IP-adres tijdens de detectieperiode. Mislukte wachtwoordpogingen kunnen meerdere keren plaatsvinden bij bepaalde gebruikers. U ziet dat dit geen mislukte pogingen bevat vanwege verlopen wachtwoorden.
Aantal extranetvergrendelingsfouten (300030) Het aantal Extranet Lockout-fouten dat optrad vanaf het IP-adres tijdens het detectietijdvenster. Extranetvergrendelingsfouten kunnen meerdere keren optreden bij bepaalde gebruikers. Dit is alleen zichtbaar als Vergrendeling van het extranet is geconfigureerd in AD FS (versies 2012R2 of hoger). Opmerking: we raden u aan deze functie in te schakelen als u extranetaanmeldingen met wachtwoorden toestaat.
Pogingen door unieke gebruikers Het aantal unieke gebruikersaccounts dat tijdens de detectieperiode vanuit het IP-adres geprobeerde acties uitvoerde. Dit biedt een mechanisme om een aanvalspatroon met een enkele gebruiker van een aanvalspatroon met meerdere gebruikers te onderscheiden.

Filter het rapport op IP-adres of gebruikersnaam om een uitgebreide weergave van aanmeldingsgegevens te zien voor elke riskante IP-gebeurtenis.

Toegang tot de werkmap

Volg de volgende stappen om toegang te krijgen tot de werkmap:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
  2. Blader naar Identiteit>Hybride beheer> *Bewaking en gezondheid>Werkmappen.
  3. Selecteer de werkmap riskante IP-rapporten.

IP-adressen van de load balancer in de lijst

Load balancer verzamelt mislukte aanmeldactiviteiten en bereikt de drempelwaarde voor waarschuwingen. Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer de load balancer op een juiste manier om het client-IP-adres door te schakelen.

Drempelwaarde-instellingen configureren

De drempelwaarde voor waarschuwingen kan via de drempelwaarde-instellingen worden bijgewerkt. De drempelwaarde is in het begin standaard ingesteld in het systeem. Drempelwaarde-instellingen kunnen worden ingesteld op uur- of dagdetectietijden en kunnen worden aangepast in de filters.

Drempelwaardefilters

Drempelwaarde-item Beschrijving
Drempelwaarde voor ongeldig wachtwoord + extranetvergrendeling Instelling voor drempelwaarde voor het rapporteren van de activiteit en het activeren van waarschuwingsmeldingen wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen deze per uur of dag overschrijdt.
Foutdrempel voor extranetvergrendeling Drempelwaarde voor het rapporteren van de activiteit en het activeren van waarschuwingsmeldingen wanneer het aantal extranetvergrendelingen per uur of dag wordt overschreden. De standaardwaarde is 50.

De tijdsduur van het detectievenster uur of dag kan worden geconfigureerd via de wisselknop boven de filters voor het aanpassen van drempelwaarden.

Meldingen configureren met behulp van Azure Monitor-waarschuwingen via het Microsoft Entra-beheercentrum:

Regel voor Azure-waarschuwingen

  1. Zoek in het Microsoft Entra-beheercentrum naar 'Monitor' in de zoekbalk om naar de Azure Monitor-service te navigeren. Selecteer Waarschuwingen in het linkermenu en vervolgens '+ Nieuwe waarschuwingsregel'.
  2. Op het blad 'Waarschuwingsregel maken':
  • Bereik: Klik op "Resource selecteren" en selecteer uw Log Analytics-werkruimte die de ADFSSignInLogs bevat die u wilt monitoren.
  • Voorwaarde: klik op Voorwaarde toevoegen. Selecteer Log voor signaaltype en Log Analytics voor de monitorservice. Kies Aangepast zoeken in logboeken.
  1. Configureer de voorwaarde voor het activeren van de waarschuwing. Volg de onderstaande instructies om de e-mailmeldingen in het Connect Health Risky IP-rapport te laten overeenkomen.
  • Kopieer en plak de volgende query en geef de drempelwaarden voor het aantal fouten op. Met deze query wordt het aantal IP-adressen gegenereerd dat de opgegeven foutdrempels overschrijdt.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

of voor een gecombineerde drempelwaarde:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Notitie

De waarschuwingslogica houdt in dat de waarschuwing wordt geactiveerd als ten minste één IP-adres bijdraagt aan de extranetvergrendelingsfoutenaantallen, of als de gecombineerde aantallen van foute wachtwoorden en extranetvergrendelingsfouten de opgegeven drempelwaarden overschrijden. U kunt de frequentie voor het evalueren van de query selecteren om riskante IP-adressen te detecteren.

Veelgestelde vragen

Waarom zie ik IP-adressen van de load balancer in het rapport?
Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer de load balancer op een juiste manier om het client-IP-adres door te schakelen.

Wat moet ik doen om het IP-adres te blokkeren?
Voeg geïdentificeerde schadelijke IP-adressen toe aan de firewall of blokkeer deze in Exchange.

Waarom zie ik geen items in dit rapport?

  • De Log Analytics-stream 'ADFSSignInLogs' is niet ingeschakeld in diagnostische instellingen.
  • Mislukte aanmeldingsactiviteiten overschrijden de drempelwaarde-instellingen niet.
  • Zorg ervoor dat er geen waarschuwing 'De gezondheidsservice is niet actueel' actief is in uw AD FS-serverlijst. Meer informatie over het oplossen van problemen met deze waarschuwing
  • Audits zijn niet ingeschakeld in AD FS-farms.

Volgende stappen