A kockázatos IP-jelentés
Active Directory összevonási szolgáltatások (AD FS) (AD FS) ügyfelek jelszó-hitelesítési végpontokat tehetnek elérhetővé az interneten, hogy hitelesítési szolgáltatásokat nyújtsanak a végfelhasználók számára az SaaS-alkalmazások, például a Microsoft 365 eléréséhez.
Előfordulhat, hogy egy rossz szereplő megpróbál bejelentkezni az AD FS-rendszeren, hogy kitalálja a végfelhasználó jelszavát, és hozzáférést kapjon az alkalmazás erőforrásaihoz. A Windows Server 2012 R2-ről az AD FS biztosítja az extranetes fiókzárolási funkciót az ilyen típusú támadások megelőzéséhez. Ha egy korábbi verzióval rendelkezik, javasoljuk, hogy frissítse az AD FS-rendszert Windows Server 2016-ra.
Emellett egyetlen IP-cím több felhasználóval is megkísérelhet több bejelentkezést. Ezekben az esetekben előfordulhat, hogy a felhasználónkénti kísérletek száma az AD FS-fiókzárolás elleni védelem küszöbértéke alatt van.
A Microsoft Entra Csatlakozás Health mostantól biztosítja a kockázatos IP-jelentést, amely észleli ezt a feltételt, és értesíti a rendszergazdákat. A jelentés használatának főbb előnyei a következők:
- Olyan IP-címeket észlel, amelyek túllépik a sikertelen jelszóalapú bejelentkezések küszöbértékét
- Támogatja a hibás jelszóból vagy extranetes zárolási állapotból eredő sikertelen bejelentkezéseket
- E-mail-értesítéseket biztosít a riasztási rendszergazdáknak testre szabható e-mail-beállításokkal
- Testre szabható küszöbérték-beállításokat biztosít, amelyek megfelelnek egy szervezet biztonsági szabályzatának
- Letölthető jelentéseket biztosít offline elemzéshez és más rendszerekkel való integrációhoz automatizálással
Feljegyzés
A jelentés használatához győződjön meg róla, hogy az AD FS-naplózás engedélyezve van. További információ: Az AD FS naplózásának engedélyezése.
Az előzetes kiadás eléréséhez globális Rendszergazda istrator vagy Biztonsági olvasó engedélyre van szükség.
Mi szerepel a jelentésben?
A sikertelen bejelentkezési tevékenység ügyfél IP-címei webes alkalmazásproxy kiszolgálókon keresztül vannak összesítve. A Kockázatos IP-jelentés minden eleme összesített információkat jelenít meg az AD FS azon sikertelen bejelentkezési tevékenységeiről, amelyek túllépték a kijelölt küszöbértéket.
A jelentésben az alábbi információk találhatók:
| Jelentéselem | Leírás |
|---|---|
| Időbélyegző | A Microsoft Entra felügyeleti központ helyi időbélyege, amikor az észlelési időablak elindul. Minden napi esemény utc időpontban éjfélkor jön létre. Az óránkénti események időbélyege az óra elejére van kerekítve. Az exportált fájlban az első tevékenység kezdési időpontja az "firstAuditTimestamp" fájlban található. |
| Eseményindító típusa | Az észlelési időablak típusa. Az összesítési eseményindítók óránkénti és a napi típusúak lehetnek. Segítenek megkülönböztetni a nagy gyakoriságú találgatásos támadást és a lassú támadást, ahol a kísérletek száma a nap folyamán oszlik el. |
| IP Address | Olyan kockázatos IP-cím, amelyről helytelen jelszót adtak meg, vagy amelyen extranet zárolást eredményező bejelentkezési tevékenység volt tapasztalható. Lehet IPv4 vagy IPv6-cím. |
| Helytelen jelszó típusú hibák száma | A hibás jelszóhibák száma, amelyek az ÉSZLELési idő alatt az IP-címből következnek be. A hibás jelszóhibák bizonyos felhasználók számára többször is előfordulhatnak. Megjegyzés: Ez a szám nem tartalmazza a lejárt jelszavakból eredő sikertelen kísérleteket. |
| Extranetes zárolási hibák száma | Az észlelési időablakban az IP-címből eredő extranetes zárolási hibák száma. Az extranetes zárolási hibák bizonyos felhasználók számára többször is előfordulhatnak. Ez a szám csak akkor jelenik meg, ha az Extranet Lockout az AD FS-ben van konfigurálva (2012R2 és újabb verziók). Megjegyzés: Határozottan javasoljuk, hogy engedélyezze ezt a funkciót, ha engedélyezi a jelszavakat használó extranetes bejelentkezéseket. |
| Megkísérelt egyedi felhasználók | Azon egyedi felhasználói fiókok száma, amelyeket az észlelési idő alatt az IP-címről kíséreltek meg. Megkülönbözteti az egyetlen felhasználói támadási mintát és a többfelhasználós támadási mintát. |
A következő jelentéselem például azt jelzi, hogy a 2018. február 28-án 18:00 és 19:00 óra közötti időszakban a 104.2XX.2XX.9 IP-cím nem okozott hibás jelszóhibákat és 284 extranetes zárolási hibát. Tizennély egyedi felhasználót érintett a feltétel. A tevékenységesemény túllépte a kijelölt jelentés óránkénti küszöbértékét.
Feljegyzés
- Csak a kijelölt küszöbértéket meghaladó tevékenységek jelennek meg a jelentéslistában.
- Ez a jelentés legfeljebb az elmúlt 30 napot követi nyomon.
- Ez a riasztási jelentés nem jeleníti meg az Exchange IP-címeit vagy a magánhálózati IP-címeket. az exportálási listában azonban szerepelnek.
Terheléselosztó IP-címei a listában
Előfordulhat, hogy a terheléselosztó összesítése sikertelen volt, ezért elérte a riasztási küszöbértéket. Ha terheléselosztó IP-címeket lát, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor átadja a kérést a webes alkalmazásproxy-kiszolgálónak. Konfigurálja megfelelően a terheléselosztót az ügyfél IP-címének továbbításához.
A Kockázatos IP-jelentés letöltése
A letöltési funkcióval az összes kockázatos IP-cím listája exportálható a Connect Health portálról az elmúlt 30 napra vonatkozóan. Az exportált listában szerepel az egyes észlelési időszakokban előforduló összes sikertelen AD FS-bejelentkezési tevékenység, így az exportálás után testreszabhatja a szűrési feltételeket. A portálon kiemelt összesítések mellett az exportált lista IP-címekre lebontva további részleteket is tartalmaz a sikertelen bejelentkezési tevékenységekről:
| Jelentéselem | Leírás |
|---|---|
| firstAuditTimestamp | Az első időbélyeg, amikor a sikertelen tevékenységek az észlelési időablakban kezdődtek. |
| lastAuditTimestamp | Az utolsó időbélyeg, amikor a sikertelen tevékenységek befejeződtek az észlelési időablakban. |
| attemptCountThresholdIsExceeded | Annak a jelzője, ha az aktuális tevékenységek túllépték a figyelmeztetési küszöbértéket. |
| isWhitelistedIpAddress | Annak a jelzője, ha az IP-cím ki lett szűrve a figyelmeztetésekből és a jelentésekből. A privát IP-címek (10.x.x.x, 172.x.x.x és 192.168.x.x) és az Exchange IP-címek szűrve vannak, és igazként vannak megjelölve. Ha magánhálózati IP-címtartományokat lát, nagy valószínűséggel a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor a kérést átadja a webes alkalmazásproxy-kiszolgálónak. |
Értesítési beállítások konfigurálása
A jelentés rendszergazdai névjegyeit az Értesítési Gépház keresztül frissítheti. Alapértelmezés szerint a kockázatos IP-riasztás e-mail-értesítése ki van kapcsolva . Az értesítést úgy engedélyezheti, hogy a sikertelen tevékenység küszöbértékét túllépő IP-címekről szóló e-mail-értesítések lekérése csoportban lévő gombra kattint.
Az Csatlakozás Health általános riasztási értesítési beállításaihoz hasonlóan itt is testre szabhatja a kockázatos IP-jelentéshez tartozó kijelölt értesítés címzettlistáját. A módosítás végrehajtása közben az összes hibrid identitásgazdát is értesítheti.
Küszöbérték-beállítások konfigurálása
A riasztási küszöbértéket frissítheti a Küszöbérték Gépház. A rendszer küszöbértéke alapértelmezett értékekkel van beállítva, amelyek az alábbi képernyőképen és a táblázatban ismertetettek.
A kockázati IP-jelentés küszöbérték-beállításai négy kategóriára vannak osztva.
| Küszöbérték-beállítás | Leírás |
|---|---|
| (Helytelen felhasználónév/jelszó + extranet zárolás) naponta | Jelenti a tevékenységet, és riasztási értesítést aktivál, ha a hibás jelszó száma és az extranetes zárolás száma meghaladja a napi küszöbértéket. Az alapértelmezett érték 100. |
| (Helytelen felhasználónév/jelszó + extranet zárolás) óránként | Jelenti a tevékenységet, és riasztási értesítést aktivál, ha a hibás jelszó és az extranetes zárolás száma meghaladja a küszöbértéket óránként. Az alapértelmezett érték: 50. |
| Extranet zárolások naponta | Jelenti a tevékenységet, és riasztási értesítést aktivál, ha az extranetes zárolás száma meghaladja a küszöbértéket naponta. Az alapértelmezett érték: 50. |
| Extranet zárolások óránként | Jelenti a tevékenységet, és riasztási értesítést aktivál, ha az extranetes zárolás száma meghaladja a küszöbértéket óránként. Az alapértelmezett érték 25. |
Feljegyzés
- A jelentés küszöbértékének módosítása a beállítás módosítása után egy órával lesz alkalmazva.
- A korábban jelentett elemeket nem érinti a küszöbérték változása.
- Javasoljuk, hogy elemezze a környezetben jelentett események számát, és módosítsa a küszöbértéket megfelelően.
GYIK
Miért jelenik meg magánhálózati IP-címtartomány a jelentésben?
A magánhálózati IP-címek (10.x.x.x, 172.x.x.x és 192.168.x.x) és az Exchange IP-címei szűrve vannak, és true (igaz) jelöléssel jelennek meg a jóváhagyott IP-címek listájában. Ha magánhálózati IP-címtartományokat lát, nagy valószínűséggel a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor a kérést átadja a webes alkalmazásproxy-kiszolgálónak.
Miért jelenik meg a terheléselosztó IP-címe a jelentésben?
Ha terheléselosztó IP-címeket lát, nagyon valószínű, hogy a külső terheléselosztó nem küldi el az ügyfél IP-címét, amikor átadja a kérést a webes alkalmazásproxy-kiszolgálónak. Konfigurálja megfelelően a terheléselosztót az ügyfél IP-címének továbbításához.
Hogyan tilthatom le az IP-címet?
Adja hozzá az azonosított rosszindulatú IP-címet a tűzfalhoz, vagy tiltsa le azt az Exchange-ben.
Miért nem látom a jelentés elemeit?
- A sikertelen bejelentkezési tevékenységek nem lépik túl a küszöbérték-beállításokat.
- Győződjön meg arról, hogy az "Állapotszolgáltatás nem naprakész" riasztás nem aktív az AD FS-kiszolgálólistában. Itt további információkat olvashat a figyelmeztetés hibaelhárításáról.
- Az AD FS-farmokban nincs engedélyezve a naplózás.
Miért nem férek hozzá a jelentéshez?
Globális Rendszergazda istrator vagy Security Reader engedélyekkel kell rendelkeznie. A hozzáférésért forduljon a globális Rendszergazda istratorhoz.