Riskfylld IP-rapportarbetsbok

  • Artikel

Kommentar

Om du vill använda arbetsboken Riskfylld IP-rapport måste du aktivera "ADFSSignInLogs" på bladet Diagnostikinställningar. Det här är en Log Analytics-ström med AD FS-inloggningar som skickas till Microsoft Entra-ID via Connect Health. Mer information om AD FS-inloggningar i Microsoft Entra-ID finns i vår dokumentation här.

AD FS-kunder kan exponera slutpunkter för lösenordsautentisering på Internet för att tillhandahålla autentiseringstjänster för slutanvändare för åtkomst till SaaS-program som Microsoft 365. I det här fallet är det möjligt för en dålig aktör att försöka logga in mot DITT AD FS-system för att gissa en slutanvändares lösenord och få åtkomst till programresurser. AD FS har innehållit en utelåsningsfunktion för extranätskonton som förhindrar dessa typer av angrepp sedan AD FS i Windows Server 2012 R2. Om du har en lägre version rekommenderar vi starkt att du uppgraderar DITT AD FS-system till Windows Server 2016.

Dessutom är det möjligt för en enskild IP-adress att försöka använda flera inloggningar mot flera användare. I dessa fall kan antalet försök per användare ligga under tröskelvärdet för kontots utelåsningsskydd i AD FS. Microsoft Entra Connect Health tillhandahåller nu "Riskfylld IP-rapport" som identifierar det här villkoret och meddelar administratörer. Följande är viktiga fördelar med den här rapporten:

  • Identifiering av IP-adresser som överskrider ett tröskelvärde för misslyckade lösenordsbaserade inloggningar
  • Stöd för misslyckade inloggningar på grund av felaktiga lösenord eller på grund av extranätsutelåsning
  • Stöder aktivering av aviseringar via Azure-aviseringar
  • Anpassningsbara tröskelvärdesinställningar som överensstämmer med säkerhetsprinciper i organisationen
  • Anpassningsbara frågor och utökade visualiseringar för ytterligare analys
  • Utökade funktioner från den tidigare riskfyllda IP-rapporten, som kommer att bli inaktuell efter den 24 januari 2022.

Krav

  1. Connect Health för AD FS installerat och uppdaterat till den senaste agenten.
  2. En Log Analytics-arbetsyta med strömmen "ADFSSignInLogs" aktiverad.
  3. Behörigheter för att använda Microsoft Entra ID Monitor-arbetsböcker. Om du vill använda arbetsböcker behöver du:
  • En Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens.
  • Åtkomst till en Log Analytics-arbetsyta och följande roller i Microsoft Entra-ID (om du använder Log Analytics via Administrationscenter för Microsoft Entra): Säkerhetsadministratör, Säkerhetsläsare, Rapportläsare

Vad finns i rapporten?

Arbetsboken riskfylld IP-rapport drivs från data i ADFSSignInLogs-strömmen och kan snabbt visualisera och analysera riskfyllda IP-adresser. Parametrarna kan konfigureras och anpassas för tröskelvärden. Arbetsboken kan också konfigureras baserat på frågor och varje fråga kan uppdateras och ändras baserat på organisationens behov.

Den riskfyllda IP-arbetsboken analyserar data från ADFSSignInLogs för att hjälpa dig att identifiera lösenordsspray- eller lösenordsattacker. Arbetsboken har två delar. Den första delen "Riskfylld IP-analys" identifierar riskfyllda IP-adresser baserat på angivna tröskelvärden för fel och längden på identifieringsfönstret. Den andra delen innehåller inloggningsinformation och antal fel för valda IP-adresser.

Skärmbild som visar arbetsboken med platser.

  • Workook visar en kartvisualisering och regionuppdelning för en snabb analys av en riskfylld IP-plats.
  • Tabellen riskfylld IP-information parallellerar funktionerna i den tidigare riskfyllda IP-rapporten. Mer information om fälten i tabellen finns i avsnittet nedan.
  • Riskfylld IP-tidslinje visar en snabb vy över eventuella avvikelser eller toppar i begäranden i en tidslinjevy
  • Med inloggningsinformation och antal fel per IP-adress kan en detaljerad filtrerad vy efter IP eller användare expandera på informationstabellen.

Varje objekt i tabellen Riskfylld IP-rapport visar aggregerad information om misslyckade AD FS-inloggningsaktiviteter som överskrider det angivna tröskelvärdet. Den innehåller följande information: Skärmbild som visar en riskfylld IP-rapport med kolumnrubriker markerade.

Rapportobjekt beskrivning
Starttid för identifieringsfönster Visar tidsstämpeln baserat på Lokal tid för Administrationscenter för Microsoft Entra när tidsfönstret för identifiering startar.
Alla dagliga händelser genereras vid midnatt UTC-tid.
Varje timhändelse har en tidsstämpel som är avrundad till timmens början. Du hittar starttiden för den första aktiviteten från "firstAuditTimestamp" i den exporterade filen.
Längd på identifieringsfönster Visar tidsperiod för identifieringstypen. De sammanställda utlösartyperna visas per timme eller per dag. Det här är användbart vid identifiering av en råstyrkeattack med hög frekvens, jämfört med en långsam attack där antalet försök är fördelade över hela dagen.
IP-adress En enskild riskfylld IP-adress som antingen har ett felaktigt lösenord eller en extranätsutelåsning vid inloggning. Det kan vara en IPv4- eller IPv6-adress.
Antal felaktiga lösenord (50126) Antalet felaktiga lösenord från IP-adressen under tidsperioden för identifiering. Felaktiga lösenord kan inträffa flera gånger för vissa användare. Observera att detta inte inkluderar misslyckade försök på grund av utgångna lösenord.
Antal extranätsutelåsningsfel (300030) Antalet extranätsutelåsningar från IP-adressen under tidsperioden för identifiering. Extranätsutelåsningar kan inträffa flera gånger för vissa användare. Detta visas bara om extranätsutelåsningen har konfigurerats i AD FS (version 2012 R2 eller senare). Obs! Vi rekommenderar starkt att aktivera den här funktionen om du tillåter extranätsinloggningar med lösenord.
Försök för unika användare Antalet försök för unika användarkonton från IP-adressen under tidsperioden för identifiering. Detta är en mekanism för att särskilja ett mönster vid en enda användarattack jämfört med attackmönster mot flera användare.

Filtrera rapporten efter IP-adress eller användarnamn för att se en utökad vy över inloggningsinformation för varje riskfylld IP-händelse.

Åtkomst till arbetsboken

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här kommer du åt arbetsboken:

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
  2. Bläddra till Identitetshybridhantering>> *Övervaknings- och hälsoarbetsböcker.>
  3. Välj arbetsboken Riskfylld IP-rapport.

IP-adresser för lastbalanserare i listan

Sammanställning av lastbalanserarens misslyckade inloggningar aktiviteter och uppnått tröskelvärde. Om du ser IP-adresser för lastbalanseraren är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webbprogramproxyservern. Konfigurera lastbalanseraren korrekt för att vidarebefordra klientens IP-adress.

Konfigurera tröskelinställningar

Aviseringströskelvärdet kan uppdateras i Tröskelinställningar. Systemet har tröskelvärdet inställt som standard. Tröskelinställningar kan anges med identifieringstider för timme eller dag och kan anpassas i filtren.

Tröskelvärdesfilter

Tröskelobjekt beskrivning
Tröskelvärde för felaktig lösenords- och extranätsutelåsning Tröskelvärdesinställning för att rapportera aktiviteten och utlösa aviseringsmeddelande när antalet felaktiga lösenord plus antalet Extranätsutelåsning överskrider det per timme eller dag.
Tröskelvärde för extranätsutelåsning Tröskelvärdesinställning för att rapportera aktiviteten och utlösa aviseringsmeddelande när antalet Extranätsutelåsning överskrider den per timme eller dag. Standardvärdet är 50.

Tids- eller dagidentifieringsfönstrets längd kan konfigureras via växlingsknappen ovanför filtren för att anpassa tröskelvärden.

Konfigurera aviseringar med hjälp av Azure Monitor-aviseringar via administrationscentret för Microsoft Entra:

Azure-aviseringsregel

  1. I administrationscentret för Microsoft Entra söker du efter "Monitor" i sökfältet för att navigera till Azure "Monitor"-tjänsten. Välj "Aviseringar" på den vänstra menyn och sedan "+ Ny aviseringsregel".
  2. På bladet Skapa aviseringsregel:
  • Omfattning: Klicka på Välj resurs och välj den Log Analytics-arbetsyta som innehåller de ADFSSignInLogs som du vill övervaka.
  • Villkor: Klicka på Lägg till villkor. Välj "Log" för Signaltyp och "Log Analytics" för Monitor-tjänsten. Välj "Anpassad loggsökning".
  1. Konfigurera villkoret för att utlösa aviseringen. Följ anvisningarna nedan om du vill matcha e-postaviseringar i connect health risky IP-rapporten.
  • Kopiera och klistra in följande fråga och ange tröskelvärdena för antal fel. Den här frågan genererar antalet IP-adresser som överskrider de angivna tröskelvärdena för fel.
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

eller för ett kombinerat tröskelvärde:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

Kommentar

Aviseringslogiken innebär att aviseringen utlöses om minst en IP-adress från extranätsutelåsningsfelet räknas, eller om det kombinerade antalet felaktiga lösenord och extranätsutelåsningsfel överskrider de angivna tröskelvärdena. Du kan välja frekvensen för att utvärdera frågan för att identifiera riskfyllda IP-adresser.

Vanliga frågor

Varför visas IP-adresser för lastbalanseraren i rapporten?
Om du ser IP-adresser för lastbalanseraren är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webbprogramproxyservern. Konfigurera lastbalanseraren korrekt för att vidarebefordra klientens IP-adress.

Vad gör jag för att blockera IP-adressen?
Du bör lägga till identifierade skadliga IP-adresser i brandväggen eller blockera dem i Exchange.

Varför visas inga objekt i den här rapporten?

  • Log Analytics-strömmen "ADFSSignInLogs" är inte aktiverad i diagnostikinställningar.
  • Misslyckade inloggningsaktiviteter överskrider inte tröskelinställningarna.
  • Se till att ingen avisering om att hälsotjänsten inte är uppdaterad är aktiv i AD FS-serverlistan. Läs mer om hur du felsöker den här aviseringen
  • Granskningar är inte aktiverade i AD FS-servergrupper.

Nästa steg