Поделиться через

Рабочая книга отчета о рискованных IP-адресах

  • Статья

Примечание.

Чтобы использовать книгу отчета о рискованных IP-адресах, необходимо включить ADFSSignInLogs в панели параметров диагностики. Это поток Log Analytics с входами AD FS, отправляемыми в Microsoft Entra ID через Connect Health. Дополнительные сведения о входах в систему AD FS в Microsoft Entra ID см. здесь.

Клиенты AD FS могут раскрывать конечные точки проверки пароля в Интернете, чтобы предоставлять службы проверки подлинности пользователям для получения доступа к приложениям SaaS, таким как Microsoft 365. В этом случае злоумышленник может попытаться выполнить входы в систему AD FS, чтобы угадать пароль конечного пользователя и получить доступ к ресурсам приложения. AD FS предоставляют функцию блокировки учетной записи экстрасети для предотвращения этих типов атак, начиная с AD FS в Windows Server 2012 R2. Если вы используете более низкую версию, настоятельно рекомендуется обновить систему AD FS до Windows Server 2016.

Кроме того, для одного IP-адреса можно попытаться выполнить несколько попыток входа для нескольких пользователей. В этих случаях количество попыток на пользователя может быть ниже порогового значения для защитной блокировки учетной записи в AD FS. Microsoft Entra Connect Health теперь предоставляет отчет о рискованных IP-адресах, который обнаруживает это условие и уведомляет администраторов. Ниже приведены ключевые преимущества этого отчета:

  • обнаружение IP-адресов, превышающих порог неудачных попыток входа на основе пароля;
  • поддержка неудачных попыток входа из-за неправильного пароля или состояния блокировки экстрасети;
  • поддержка включения оповещений через оповещения Azure;
  • настраиваемые параметры порога, которые соответствуют политике безопасности организации;
  • настраиваемые запросы и расширенные визуализации для дальнейшего анализа;
  • расширенные функции из предыдущего отчета о ненадежных IP-адресах, который будет объявлен нерекомендуемым после 24 января 2022 г.

Требования

  1. Установленная и обновлённая служба Connect Health для AD FS с последней версией агента.
  2. Рабочая область Log Analytics, в которой включен поток "ADFSSignInLogs".
  3. Разрешения на использование рабочих книг Microsoft Entra ID Monitor. Для использования рабочих тетрадей вам потребуется:
  • Клиент Microsoft Entra с лицензией Microsoft Entra ID P1 или P2.
  • Доступ к рабочей области Log Analytics и следующим ролям в идентификаторе Microsoft Entra (при доступе к Log Analytics через Центр администрирования Microsoft Entra): администратор безопасности, читатель безопасности, читатель отчетов

Содержимое этого отчета

Книга отчета о ненадежных IP-адресах использует данные из потока ADFSSignInLogs и позволяет быстро визуализировать и анализировать ненадежные IP-адреса. Вы можете настроить параметры для счетчиков порогов. Книга также настраивается на основе запросов, и каждый запрос можно обновлять и изменять в зависимости от потребностей организации.

Книга рискованных IP-адресов анализирует данные из ADFSSignInLogs для обнаружения атак методом подбора паролей или атак типа 'password spray'. Книга состоит из двух частей. Первая часть, "Анализ ненадежных IP-адресов", дает определение ненадежным IP-адресам с учетом заданных порогов ошибок и длительности окна обнаружения. Вторая часть предоставляет сведения о входе и счетчики ошибок для выбранных IP-адресов.

Снимок экрана вида рабочей книги с расположениями.

  • Книга отображает визуализацию карты и разбивку по регионам для быстрого анализа расположений ненадежных IP-адресов.
  • Таблица с данными о ненадежных IP-адресах схожа по функциональности с предыдущим отчетом о ненадежных IP-адресах. Дополнительные сведения о полях в таблице см. в разделе ниже.
  • Временная шкала с рискованными IP-адресами предоставляет краткий обзор аномалий или всплесков числа запросов в виде временной шкалы.
  • Сведения о деталях входа и счетчики ошибок по IP-адресам позволяют получить подробное отфильтрованное представление по IP-адресу или пользователю, чтобы расширить информацию в таблице деталей.

Каждый элемент в таблице отчета о ненадежном IP-адресе показывает сводную информацию о неудачных попытках входа AD FS, превышающих указанный порог. В ней приведены следующие сведения: Снимок экрана: отчет о рискованных IP-адресах с выделенными заголовками столбцов.

Элемент отчета Описание
Время начала окна обнаружения Отображает метку времени на основе локального времени центра администрирования Microsoft Entra на момент начала временного окна обнаружения.
Все ежедневные события создаются в полночь по времени UTC.
У почасовых событий есть метка времени, округленная до начала часа. Вы можете найти время начала первого действия из firstAuditTimestamp в экспортируемом файле.
Длительность окна обнаружения Показывает тип окна времени обнаружения. Есть почасовые и ежедневные типы триггеров агрегации. Это может быть полезно для обнаружения частых атак методом грубой силы по сравнению с медленными атаками, в которых число попыток распределяется в течение дня.
IP-адрес Один ненадежный IP-адрес, по которому выполнено одно из таких действий входа: неправильный пароль или блокировка экстрасети. Это может быть IPv4- или IPv6-адрес.
Число ошибок неверного пароля (50126) Количество ошибок неправильного пароля, произошедших с IP-адреса в течение периода обнаружения. Ошибки с неправильным вводом пароля могут возникать несколько раз для определенных пользователей. Обратите внимание, что это не включает неудачные попытки из-за просроченных паролей.
Число ошибок блокировки экстрасети (300030) Количество случаев блокировки экстрасети по IP-адресу в период временного окна обнаружения. Ошибки блокировки экстранета могут происходить несколько раз у определенных пользователей. Они обнаруживаются, только если блокировка экстрасети настроена в AD FS (версии 2012 R2 или более поздние). Примечание. Настоятельно рекомендуется включить эту возможность, если вы разрешаете вход в экстрасеть с использованием паролей.
Попытки от уникальных пользователей Число уникальных учетных записей пользователей, которые были использованы с IP-адреса в период обнаружения. При этом предоставляется механизм для различения шаблона атаки одного пользователя и нескольких пользователей.

Отфильтруйте данные в отчете по IP-адресу или имени пользователя, чтобы просмотреть расширенное представление сведений об операциях входа для каждого события с ненадежным IP-адресом.

Доступ к рабочей книге

Чтобы получить доступ к книге, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra как по крайней мере Гибридный Администратор Удостоверений.
  2. Перейдите к Идентификация>Гибридное управление>Мониторинг и состояние>Рабочие книги.
  3. Выберите книгу с отчетом о рискованных IP-адресах.

IP-адреса подсистемы балансировки нагрузки в списке

Балансировщик нагрузки собирает информацию о неудачных попытках входа и достиг порога для срабатывания оповещения. Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Для отправки IP-адреса клиента необходимо правильно настроить подсистему балансировки нагрузки.

Настроить пороговые значения

Порог оповещений можно обновить с помощью параметров порогового значения. Для начала в системе есть пороговое значение, установленное по умолчанию. Параметры порогов можно задать со временем обнаружения по часу или дню, а также настроить в фильтрах.

Фильтры порогов

Пороговый элемент Описание
Порог для числа ошибок ввода пароля и блокировки экстрасети Настройка порога для оповещения об активности и активации уведомления, когда сумма числа неверных паролей и блокировок экстрасети превышает это значение в течение часа или дня.
Порог ошибок блокировки экстрасети Установка порога для отчёта о деятельности и запуска уведомления, когда число блокировок экстрасети превышает это значение за час или день. Значение по умолчанию — 50.

Длительность окна обнаружения за час или день можно настроить с помощью переключателя над фильтрами для настройки порогов.

Настройте уведомления с помощью предупреждений Azure Monitor в Центре администрирования Microsoft Entra.

Правило генерации оповещений Azure

  1. В Центре администрирования Microsoft Entra найдите "Монитор" в строке поиска, чтобы перейти к службе Azure "Monitor". Выберите "Оповещения" в меню слева, а затем "+ Новое правило генерации оповещений".
  2. На панели "Создание правила оповещения" выполните следующие действия.
  • Область: щелкните "Выбрать ресурс" и выберите рабочую область Log Analytics, содержащую ADFSSignInLogs, которую вы хотите отслеживать.
  • Условие: нажмите кнопку "Добавить условие". Выберите "Журнал" для типа сигнала и "Log analytics" для службы "Мониторинг". Выберите "Пользовательский поиск по журналам".
  1. Настройте условие для срабатывания оповещения. Чтобы сопоставить уведомления по электронной почте в отчете о ненадежных IP-адресах для Connect Health, выполните инструкции ниже.
  • Скопируйте и вставьте следующий запрос и укажите пороги для числа ошибок. Этот запрос создает несколько IP-адресов, число которых превышает назначенные пороги ошибок.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

Или для объединенного порога:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Примечание.

Логика оповещений предусматривает, что оповещение сработает в том случае, если по меньшей один IP-адрес из числа ошибок блокировки экстрасети или объединенного числа неверных паролей и ошибок блокировки экстрасети приведет к превышению назначенных порогов. Вы можете выбрать частоту для оценки запроса для обнаружения рискованных IP-адресов.

Вопросы и ответы

Почему в отчете отображаются IP-адреса подсистемы балансировки нагрузки?
Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Для отправки IP-адреса клиента необходимо правильно настроить подсистему балансировки нагрузки.

Что делать, чтобы заблокировать IP-адрес?
Следует добавить идентифицированный вредоносный IP-адрес в брандмауэр или заблокировать в Exchange.

Почему я не вижу никаких элементов в этом отчете?

  • Поток Log Analytics "ADFSSignInLogs" не включен в параметрах диагностики.
  • Неудачные действия входа не превышают пороговые настройки.
  • Убедитесь, что в списке серверов AD FS нет активного оповещения "Служба здравоохранения не актуальна". Дополнительные сведения о том, как устранить это оповещение, узнайте здесь.
  • Аудиты не включены в фермах AD FS.

Следующие шаги