Compartilhar via

Pasta de trabalho do relatório IP Arriscado

  • Artigo

Observação

Para usar a pasta de trabalho do relatório de IP arriscado, habilite "ADFSSignInLogs" na folha Configurações de diagnóstico. Este é um fluxo do Log Analytics com entradas do AD FS enviadas ao Microsoft Entra ID por meio do Connect Health. Para saber mais sobre Entradas do AD FS no Microsoft Entra ID, veja nossa documentação aqui.

Os clientes do AD FS podem expor pontos de extremidade de autenticação de senha para a Internet a fim de fornecer serviços de autenticação para os usuários finais acessarem aplicativos SaaS como o Microsoft 365. Nesse caso, é possível que um ator mal-intencionado tente fazer logons em seu sistema de AD FS adivinhando a senha do usuário final e obtendo acesso aos recursos do aplicativo. O AD FS fornece a funcionalidade de bloqueio de conta de extranet para evitar esses tipos de ataque desde a sua versão no Windows Server 2012 R2. Se você estiver em uma versão inferior, recomendamos fortemente que atualize seu sistema do AD FS para o Windows Server 2016.

Além disso, é possível que um único endereço IP tente vários logons em relação a vários usuários. Nesses casos, o número de tentativas por usuário pode estar abaixo do limite para a proteção de bloqueio de conta no AD FS. O Microsoft Entra Connect Health já fornece o "Relatório de IP arriscado", que detecta essa condição e notifica os administradores. Estes são os principais benefícios do relatório:

  • Detecção de endereços IP que excedem um limite de logons com falha com base em senha
  • Dá suporte a logons com falha devido a senha incorreta ou a estado de bloqueio de extranet
  • Dá suporte à habilitação de alertas por meio de Alertas do Azure
  • Configurações de limite personalizáveis que correspondem à política de segurança de uma organização
  • Consultas personalizáveis e visualizações expandidas para análise posterior
  • Funcionalidade expandida do relatório IP Arriscado anterior, que será preterido após 24 de janeiro de 2022.

Requisitos

  1. Connect Health para AD FS instalado e atualizado para o agente mais recente.
  2. Um Workspace do Log Analytics com o fluxo "ADFSSignInLogs" habilitado.
  3. Permissões para usar as Pastas de Trabalho de Monitoramento do Microsoft Entra ID. Para usar Pastas de Trabalho, você precisará de:
  • Um locatário do Microsoft Entra com uma licença P1 ou P2 do Microsoft Entra ID.
  • Acesso a um workspace do Log Analytics e às seguintes funções no Microsoft Entra ID (se estiver acessando o Log Analytics por meio do centro de administração do Microsoft Entra): Administrador de segurança, Leitor de segurança, Leitor de relatórios

O que o relatório exibe?

A pasta de trabalho Relatório de IPs suspeitos é alimentada com os dados do fluxo ADFSSignInLogs e pode visualizar e analisar rapidamente os IPs suspeitos. Os parâmetros podem ser configurados e personalizados para contagens de limite. A pasta de trabalho também pode ser configurada com base em consultas, e cada consulta pode ser atualizada e modificada com base nas necessidades da organização.

A pasta de trabalho IP arriscado analisa dados de ADFSSignInLogs para ajudar você a detectar ataques de pulverização de senha ou de força bruta de senha. A pasta de trabalho tem duas partes. A primeira parte, "Análise de IP Arriscado", identifica endereços IP arriscados com base nos limites de erro designados e no comprimento da janela de detecção. A segunda parte fornece os detalhes de entrada e as contagens de erros para IPs selecionados.

Captura de tela que uma exibição da Pasta de trabalho com locais.

  • A pasta de trabalho exibe uma visualização de mapa e um detalhamento de região para uma análise rápida da localização do IP arriscado.
  • A tabela de detalhes IP Arriscado é semelhante à funcionalidade do relatório IP Arriscado antigo. Para obter detalhes sobre os campos na tabela, veja a seção abaixo.
  • A linha do tempo de IP Arriscado mostra uma exibição rápida de anomalias ou picos em solicitações em uma exibição de linha do tempo
  • Os detalhes de entrada e as contagens de erros por IP permitem que uma exibição filtrada detalhada por IP ou usuário seja expandida na tabela de detalhes.

Cada item da tabela do relatório IP Arriscado mostra informações agregadas sobre atividades de entrada do AD FS com falha que excedem o limite designado. Ele fornece as seguintes informações: Captura de tela que mostra um relatório de IPs arriscados com os cabeçalhos das colunas realçados.

Item do relatório Descrição
Hora de Início da Janela de Detecção Mostra o carimbo de data/hora com base na hora local do centro de administração do Microsoft Entra quando a janela de tempo de detecção for iniciada.
Todos os eventos diários são gerados à meia-noite, horário UTC.
Os eventos por hora têm o carimbo de data/hora arredondado para o início da hora. Você pode encontrar a hora de início da primeira atividade de "firstAuditTimestamp" no arquivo exportado.
Comprimento da Janela de Detecção Mostra o tipo de janela de tempo de detecção. Os tipos de gatilho de agregação são por hora ou por dia. Isso é útil para detectar um ataque de força bruta de alta frequência versus um ataque lento, em que o número de tentativas é distribuído ao longo do dia.
Endereço IP O único endereço IP arriscado que tinha senha incorreta ou atividades de entrada do bloqueio de extranet. Isso pode ser um endereço IPv4 ou IPv6.
Contagem de Erros de Senha Incorreta (50126) Ocorreu a contagem de erro de senha incorreta no endereço IP durante a janela de tempo de detecção. Os erros de senha incorreta podem ocorrer várias vezes para determinados usuários. Observe que isso não inclui tentativas com falha devido a senhas expiradas.
Contagem de Erro de Bloqueio de Extranet (300030) Ocorreu a contagem de erro de bloqueio de extranet no endereço IP durante a janela de tempo de detecção. Os erros de bloqueio de Extranet podem ocorrer várias vezes para determinados usuários. Isso só será visto se o Bloqueio de Extranet for configurado no AD FS (versões 2012R2 ou superior). Observação Recomendamos ativar esse recurso se você permite logons extranet com senhas.
Usuários exclusivos tentados Contagem de tentativas de contas de usuário exclusivas no endereço IP durante a janela de tempo de detecção. Isso fornece um mecanismo para diferenciar um padrão de ataque de usuário único versus um padrão de ataque de multiusuário.

Filtre o relatório por endereço IP ou nome de usuário para ver uma exibição expandida dos detalhes de entradas para cada evento de IP arriscado.

Como acessar a pasta de trabalho

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para acessar a pasta de trabalho:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue atéIdentidade>Gerenciamento híbrido> *Monitoramento e integridade>Pastas de trabalho.
  3. Selecione a pasta de trabalho Relatório de IPs suspeitos.

Endereços IP do balanceador de carga na lista

Atividades de entrada com falha agregadas ao balanceador de carga e limite de alerta atingido. Se você estiver vendo endereços IP do balanceador de carga, é muito provável que o seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.

Definir as configurações de limite

O limite de alerta pode ser atualizado com as Configurações de Limite. Para começar, o sistema tem um limite definido por padrão. As configurações de limite podem ser definidas por tempos de detecção de horas ou dias e podem ser personalizadas nos filtros.

Filtros de limite

Item de limite Descrição
Senha Incorreta + Limite de Bloqueios de Extranet Configuração de limite para relatar a atividade e disparar a notificação de alerta quando a contagem de Senhas Incorretas mais a contagem de Bloqueios de Extranet o exceder por hora ou dia.
Limite de Erro de Bloqueio de Extranet Configuração de limite para relatar a atividade e disparar a notificação de alerta quando a contagem de Bloqueios de Extranet o exceder por hora ou dia. O valor padrão é 50.

O comprimento da janela de detecção de Hora ou Dia pode ser configurado por meio do botão de alternância acima dos filtros para personalização de limites.

Configure alertas de notificação usando Alertas do Azure Monitor por meio do centro de administração do Microsoft Entra:

Regra de Alertas do Azure

  1. No centro de administração do Microsoft Entra, procure “Monitor” na barra de pesquisa para acessar o serviço “Monitor” do Azure. Selecione "Alertas" no menu à esquerda e "+Nova regra de alerta".
  2. Na folha "Criar regra de alerta":
  • Escopo: clique em "Selecionar recurso" e selecione o workspace do Log Analytics que contém o ADFSSignInLogs que você deseja monitorar.
  • Condição: clique em "Adicionar condição". Selecione "Log" para Tipo de sinal e "Análise de log" para o serviço Monitor. Escolha "Pesquisa de logs personalizada".
  1. Configure a condição para disparar o alerta. Para fazer a correspondência das notificações por email no relatório IP Arriscado do Connect Health, siga as instruções abaixo.
  • Copie e cole a consulta a seguir e especifique os limites de contagem de erros. Essa consulta gera o número de IPs que excedem os limites de erro designados.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

ou para um limite combinado:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Observação

A lógica de alerta significa que o alerta será disparado se pelo menos um IP da contagem de erros de bloqueio de extranet, ou uma combinação de contagens de erros de bloqueio de extranet e de senha incorretas, exceder os limites designados. Você pode selecionar a frequência de avaliação da consulta para detectar IPs de risco.

Perguntas frequentes

Por que estou vendo endereços IP do balanceador de carga no relatório?
Se você estiver vendo endereços IP do balanceador de carga, é muito provável que o seu balanceador de carga externo não esteja enviando o endereço IP do cliente ao passar a solicitação para o servidor Proxy de Aplicativo Web. Configure o balanceador de carga corretamente para encaminhar o endereço IP do cliente.

O que fazer para bloquear o endereço IP?
Você deve adicionar o endereço IP mal-intencionado ao firewall ou bloqueá-lo no Exchange.

Por que não vejo todos os itens no relatório?

  • O fluxo “ADFSSignInLogs” do Log Analytics não está habilitado nas Configurações de Diagnóstico.
  • As atividades de entrada com falha não excedem as configurações de limite.
  • Verifique se nenhum alerta "O serviço de integridade não está atualizado" está ativo na sua lista de servidores AD FS. Leia mais sobre como solucionar esse alerta
  • As auditorias não estão habilitadas em farms do AD FS.

Próximas etapas