Udostępnij za pośrednictwem

Skoroszyt raportu zagrożonych adresów IP

  • Artykuł

Uwaga

Aby użyć skoroszytu raportu ryzykownych adresów IP, należy włączyć opcję "ADFSSignInLogs" w panelu Ustawienia diagnostyczne. Jest to strumień usługi Log Analytics z logowaniami usług AD FS wysyłanymi do usługi Microsoft Entra ID za pośrednictwem programu Connect Health. Aby dowiedzieć się więcej na temat logowania usług AD FS w usłudze Microsoft Entra ID, zapoznaj się z naszą dokumentacją tutaj.

Klienci usług AD FS mogą uwidaczniać punkty końcowe uwierzytelniania haseł w Internecie w celu zapewnienia użytkownikom końcowym usług uwierzytelniania w celu uzyskania dostępu do aplikacji SaaS, takich jak Microsoft 365. W takim przypadku istnieje możliwość, że zły aktor próbuje zalogować się do systemu usług AD FS, aby odgadnąć hasło użytkownika końcowego i uzyskać dostęp do zasobów aplikacji. Usługi AD FS zapewniają funkcję blokady konta na ekstranecie w celu zapobieżenia tego rodzaju atakom już od wersji 2012 R2 systemu Windows Server. Jeśli korzystasz z niższej wersji, zdecydowanie zalecamy uaktualnienie systemu AD FS do systemu Windows Server 2016.

Ponadto istnieje możliwość, aby jeden adres IP próbował wielu logowań względem wielu użytkowników. W takich przypadkach liczba prób na użytkownika może być mniejsza od progu ochrony blokady konta w AD FS. Program Microsoft Entra Connect Health udostępnia teraz raport "Ryzykowny adres IP", który wykrywa ten warunek i powiadamia administratorów. Poniżej wymieniono najważniejsze zalety korzystania z tego raportu:

  • Wykrywanie adresów IP, w przypadku których przekroczono próg nieudanych prób logowania opartego na haśle
  • Obsługa nieudanych prób logowania związanych z nieprawidłowym hasłem lub stanem blokady ekstranetu
  • Obsługuje włączanie alertów za pomocą alertów platformy Azure
  • Możliwość konfiguracji ustawień progowych odpowiadających zasadom zabezpieczeń używanym w organizacji
  • Dostosowywalne zapytania i rozwinięte wizualizacje na potrzeby dalszej analizy
  • Rozszerzona funkcjonalność z poprzedniego Raportu Ryzykownych Adresów IP, który zostanie wycofany po 24 stycznia 2022 r.

Wymagania

  1. Program Connect Health dla usług AD FS został zainstalowany i zaktualizowany do najnowszego agenta.
  2. Obszar roboczy usługi Log Analytics z włączonym strumieniem "ADFSSignInLogs".
  3. Uprawnienia do korzystania ze skoroszytów Monitor Entra ID firmy Microsoft. Aby korzystać ze skoroszytów, potrzebujesz:
  • Dzierżawa Microsoft Entra z licencją Microsoft Entra ID P1 lub P2.
  • Dostęp do obszaru roboczego usługi Log Analytics i następujących ról w usłudze Microsoft Entra ID (jeśli uzyskujesz dostęp do usługi Log Analytics za pośrednictwem centrum administracyjnego firmy Microsoft Entra): Administrator zabezpieczeń, Czytelnik zabezpieczeń, Czytelnik raportów

Co znajduje się w raporcie?

Skoroszyt raportu dotyczącego ryzykownych adresów IP bazuje na danych ze strumienia ADFSSignInLogs i umożliwia szybkie wizualizowanie i analizowanie ryzykownych adresów IP. Parametry można skonfigurować i dostosować dla liczby progów. Skoroszyt można również konfigurować na podstawie zapytań, a każde zapytanie można aktualizować i modyfikować na podstawie potrzeb organizacji.

Skoroszyt ryzykownych IP analizuje dane z ADFSSignInLogs, aby ułatwić wykrywanie ataków polegających na rozpraszaniu haseł lub ataków typu brute force. Książka robocza ma dwie części. Pierwsza część "Analiza ryzykownych adresów IP" identyfikuje ryzykowne adresy IP na podstawie wyznaczonych progów błędów i długości okna wykrywania. Druga część zawiera szczegóły logowania i liczby błędów dla wybranych adresów IP.

Zrzut ekranu przedstawiający widok skoroszytu z lokalizacjami.

  • W okienku workook zostanie wyświetlona wizualizacja mapy i podział regionów na potrzeby szybkiej analizy ryzykownej lokalizacji adresów IP.
  • Tabela szczegółów dotyczących ryzykownych adresów IP odzwierciedla funkcjonalność poprzedniego raportu ryzykownych adresów IP. Aby uzyskać szczegółowe informacje na temat pól w tabeli, zobacz poniższą sekcję.
  • Oś czasu ryzykownych adresów IP przedstawia szybki przegląd wszelkich anomalii lub nagłych wzrostów liczby żądań na osi czasu.
  • Szczegóły logowania i liczby błędów według adresu IP umożliwiają szczegółowe filtrowanie widoku według adresu IP lub użytkownika, aby rozwinąć tabelę szczegółów.

Każdy element w tabeli raportu o ryzykownych adresach IP zawiera zagregowane informacje o nieudanych próbach logowania do AD FS, które przekraczają wyznaczony próg. Zawiera następujące informacje: Zrzut ekranu przedstawiający raport dotyczący ryzykownego adresu IP z wyróżnionymi nagłówkami kolumn.

Element raportu opis
Godzina rozpoczęcia okna wykrywania Pokazuje znacznik czasowy oparty na lokalnym czasie centrum administracyjnego Microsoft Entra, kiedy rozpoczyna się okno czasu wykrywania.
Wszystkie zdarzenia dzienne są generowane o północy czasu UTC.
Sygnatura czasowa zdarzeń godzinowych jest zaokrąglona do początku godziny. Czas rozpoczęcia pierwszego działania można znaleźć w wyeksportowanym pliku "firstAuditTimestamp".
Długość okna wykrywania Zawiera typ przedziału czasu wykrywania. Typy wyzwalaczy agregacji to godzinowe lub dzienne. To ułatwia odróżnienie ataków siłowych o dużej częstotliwości od powolnych ataków, w przypadku których próby uzyskania dostępu są rozłożone na cały dzień.
Adres IP Pojedynczy ryzykowny adres IP, powiązany z blokadą ekstranetu lub próbą logowania przy użyciu nieprawidłowego hasła. Może to być adres IPv4 lub IPv6.
Liczba błędów nieprawidłowego hasła (50126) Liczba błędów dotyczących nieprawidłowego hasła związanych z tym adresem IP, które wystąpiły w danym przedziale czasu wykrywania. W przypadku niektórych użytkowników błędy dotyczące użycia nieprawidłowego hasła mogą występować wielokrotnie. Zwróć uwagę, że nie obejmuje to nieudanych prób z powodu wygasłych haseł.
Liczba błędów blokady ekstranetu (300030) Liczba błędów dotyczących blokady ekstranetu związanych z tym adresem IP, które wystąpiły w danym przedziale czasu wykrywania. W przypadku niektórych użytkowników błędy dotyczące blokady ekstranetu mogą występować wielokrotnie. Będą one widoczne tylko wtedy, gdy skonfigurowano blokadę ekstranetu w usługach AD FS (w wersji 2012 R2 lub nowszej). Uwaga Zdecydowanie zalecamy włączenie tej funkcji w przypadku zezwolenia na logowanie z ekstranetu przy użyciu hasła.
Unikalni użytkownicy próbujący Liczba unikatowych kont użytkowników, na które podjęto próby dostępu z tego adresu IP w danym oknie czasowym wykrywania. Umożliwia ona odróżnienie wzorca ataku przy użyciu jednego konta użytkownika od wzorca ataku przy użyciu wielu kont użytkowników.

Filtruj raport według adresu IP lub nazwy użytkownika, aby wyświetlić rozszerzony widok szczegółów logowań dla każdego ryzykownego zdarzenia IP.

Uzyskiwanie dostępu do skoroszytu

Aby uzyskać dostęp do skoroszytu:

  1. Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej administrator tożsamości hybrydowej.
  2. Przejdź do Tożsamości>Zarządzania hybrydowego> *Monitorowanie i kondycja>Skoroszyty.
  3. Wybierz skoroszyt raportu Ryzykowne adresy IP.

Adresy IP modułu równoważenia obciążenia na liście

Moduł równoważenia obciążenia agreguje nieudane działania związane z logowaniem i osiąga próg alertu. Jeśli widzisz adresy IP na liście równoważenia obciążenia, jest wysoce prawdopodobne, że zewnętrzny moduł równoważenia obciążenia nie wysyła adresu IP klienta podczas przekazywania żądania do serwera proxy aplikacji sieci Web. Proszę skonfigurować prawidłowo równoważnik obciążenia, aby przekazywać dalej adres IP klienta.

Konfigurowanie ustawień progu

Próg alertu można zaktualizować za pomocą ustawień progowych. Na początek, próg w systemie jest ustawiony domyślnie. Ustawienia progowe można ustawić na czasy wykrywania godzinne lub dzienne i dostosować je w filtrach.

Filtry progowe

Element progu opis
Nieprawidłowe hasło i próg blokady ekstranetu Ustawienie progu w celu raportowania aktywności i wysyłania alertów, gdy liczba błędnych haseł oraz blokad ekstranetu przekracza ustalony próg w ciągu godziny lub dnia.
Próg błędu blokady ekstranetu Ustawienie progu do raportowania aktywności i wywoływania powiadomienia alarmowego, gdy liczba blokad ekstranetu przekracza ten próg w ciągu godziny lub dnia. Wartość domyślna to 50.

Długość okna wykrywania 'Godzina lub Dzień' można skonfigurować za pomocą przycisku przełączania znajdującego się nad filtrami, służącego do dostosowywania progów.

Konfigurowanie alertów powiadomień za pomocą usługi Azure Monitor w centrum administracyjnym Microsoft Entra:

Reguła alertów platformy Azure

  1. W centrum administracyjnym firmy Microsoft Entra wyszukaj ciąg "Monitor" na pasku wyszukiwania, aby przejść do usługi Azure "Monitor". Wybierz pozycję "Alerty" z menu po lewej stronie, a następnie pozycję "+ Nowa reguła alertu".
  2. W oknie "Utwórz regułę alertu":
  • Zakres: kliknij pozycję "Wybierz zasób" i wybierz obszar roboczy usługi Log Analytics zawierający dzienniki ADFSSignInLogs, które chcesz monitorować.
  • Warunek: kliknij pozycję "Dodaj warunek". Wybierz "Dziennik" dla typu sygnału i "Log Analytics" dla usługi Monitora. Wybierz pozycję "Wyszukiwanie w dzienniku niestandardowym".
  1. Skonfiguruj warunek wyzwalania alertu. Aby dopasować powiadomienia e-mail w raporcie o ryzykownych adresach IP programu Connect Health, postępuj zgodnie z poniższymi instrukcjami.
  • Skopiuj i wklej następujące zapytanie i określ progi liczby błędów. To zapytanie generuje liczbę adresów IP, które przekraczają wyznaczone progi błędów.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

lub dla połączonego progu:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Uwaga

Logika alertu oznacza, że alert zostanie wyzwolony, jeśli co najmniej jeden adres IP pojawia się w liczbie błędów blokady ekstranetu, lub gdy łączna liczba błędów nieprawidłowego hasła i blokady ekstranetu przekroczy wyznaczony próg. Możesz wybrać częstotliwość oceniania zapytania w celu wykrywania ryzykownych adresów IP.

Często zadawane pytania

Dlaczego w raporcie są widoczne adresy IP modułu równoważenia obciążenia?
Jeśli widzisz adresy IP modułu równoważenia obciążenia, istnieje duże prawdopodobieństwo, że zewnętrzny moduł równoważenia obciążenia nie wysyła adresu IP klienta podczas przekazywania żądania do serwera Proxy aplikacji sieci Web. Skonfiguruj prawidłowo moduł równoważenia obciążenia, aby przekazać adres IP klienta.

Co zrobić, aby zablokować adres IP?
Złośliwy adres IP należy dodać do zapory lub blokady w programie Exchange.

Dlaczego nie widzę żadnych elementów w tym raporcie?

  • Strumień logów analitycznych "ADFSSignInLogs" nie jest włączony w ustawieniach diagnostycznych.
  • Nieudane działania logowania nie przekraczają ustawień progowych.
  • Upewnij się, że na liście serwerów usług AD FS nie jest aktywny alert "Usługa zdrowotna nie jest aktualna". Przeczytaj więcej na temat rozwiązywania problemów z tym alertem
  • Audyty nie są włączone w środowiskach AD FS.

Następne kroki