Riskfylld IP-rapport (förhandsversion)
Active Directory Federation Services (AD FS) kunder (AD FS) kan exponera slutpunkter för lösenordsautentisering på Internet för att tillhandahålla autentiseringstjänster för slutanvändare för åtkomst till SaaS-program som Microsoft 365.
Det är möjligt för en dålig aktör att försöka logga in mot ditt AD FS-system för att gissa en slutanvändares lösenord och få åtkomst till programresurser. Från och med Windows Server 2012 R2 tillhandahåller AD FS funktionen för extranätskontoutelåsning för att förhindra dessa typer av attacker. Om du har en tidigare version rekommenderar vi starkt att du uppgraderar DITT AD FS-system till Windows Server 2016.
Dessutom är det möjligt för en enskild IP-adress att försöka använda flera inloggningar mot flera användare. I dessa fall kan antalet försök per användare ligga under tröskelvärdet för kontoutelåsningsskydd i AD FS.
Microsoft Entra Anslut Health tillhandahåller nu en riskfylld IP-rapport som identifierar det här villkoret och meddelar administratörer. Här är de viktigaste fördelarna med att använda den här rapporten:
- Identifierar IP-adresser som överskrider ett tröskelvärde för misslyckade lösenordsbaserade inloggningar
- Stöder misslyckade inloggningar till följd av felaktigt lösenord eller extranätsutelåsningstillstånd
- Ger e-postaviseringar till aviseringsadministratörer med anpassningsbara e-postinställningar
- Tillhandahåller anpassningsbara tröskelinställningar som matchar en organisations säkerhetsprincip
- Tillhandahåller nedladdningsbara rapporter för offlineanalys och integrering med andra system via automatisering
Kommentar
Om du ska kunna använda rapporten måste AD FS-granskning vara aktiverat. Mer information finns i Aktivera granskning för AD FS.
För att få åtkomst till den här förhandsversionen behöver du behörigheter som global administratör eller säkerhetsläsare .
Vad finns i rapporten?
Ip-adresserna för den misslyckade inloggningsaktiviteten aggregeras via webbaserade Programproxy servrar. Varje objekt i den riskfyllda IP-rapporten visar aggregerad information om misslyckade AD FS-inloggningsaktiviteter som har överskridit det angivna tröskelvärdet.
Rapporten innehåller följande information:
| Rapportobjekt | beskrivning |
|---|---|
| Tidsstämpel | Tidsstämpeln som baseras på Microsoft Entra Administrationscenter lokal tid när tidsfönstret för identifiering startar. Alla dagliga händelser genereras vid midnatt UTC-tid. Händelser varje timme har tidsstämpeln avrundad till början av timmen. Du hittar den första starttiden för aktiviteten från "firstAuditTimestamp" i den exporterade filen. |
| Utlösartyp | Tidsfönstret för identifieringstyp. De sammanställda utlösartyperna visas per timme eller per dag. De är användbara för att skilja mellan en högfrekvent brute force-attack och en långsam attack, där antalet försök fördelas under dagen. |
| IP-adress | En enskild riskfylld IP-adress som antingen har ett felaktigt lösenord eller en extranätsutelåsning vid inloggning. Det kan vara antingen en IPv4- eller IPv6-adress. |
| Antal felaktiga lösenord | Antalet felaktiga lösenordsfel som uppstår från IP-adressen under tidsperioden för identifiering. Felaktiga lösenordsfel kan inträffa flera gånger för vissa användare. Obs! Det här antalet inkluderar inte misslyckade försök till följd av utgångna lösenord. |
| Felantal för extranätsutelåsning | Antalet extranätsutelåsningsfel som inträffar från IP-adressen under tidsperioden för identifiering. Extranätsutelåsningsfelen kan inträffa flera gånger för vissa användare. Det här antalet visas endast om Extranätsutelåsning har konfigurerats i AD FS (version 2012R2 och senare). Obs! Vi rekommenderar starkt att du aktiverar den här funktionen om du tillåter extranätsinloggningar som använder lösenord. |
| Försök för unika användare | Antalet unika användarkonton som försöks från IP-adressen under tidsperioden för identifiering. Skiljer mellan ett attackmönster för en enskild användare och ett attackmönster för flera användare. |
Följande rapportobjekt anger till exempel att IP-adressen 104.2XX.2XX.2XX.9 inte hade några felaktiga lösenordsfel och 284 extranätsutelåsningsfel under fönstret 18.00–19.00 den 28 februari 2018. Fjorton unika användare påverkades inom kriterierna. Aktivitetshändelsen överskred den avsedda rapportens tröskelvärde för varje timme.
Kommentar
- Endast aktiviteter som överskrider det avsedda tröskelvärdet visas i rapportlistan.
- Den här rapporten spårar högst de senaste 30 dagarna.
- Den här aviseringsrapporten visar inte Exchange IP-adresser eller privata IP-adresser. De ingår dock fortfarande i exportlistan.
IP-adresser för lastbalanserare i listan
Lastbalanserarens aggregering kan ha misslyckats, vilket gjorde att den nådde aviseringströskeln. Om du ser IP-adresser för lastbalanseraren är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webb-Programproxy-servern. Konfigurera lastbalanseraren korrekt för att vidarebefordra klientens IP-adress.
Ladda ned den riskfyllda IP-rapporten
Med hjälp av funktionen Ladda ned kan listan med riskfyllda IP-adresser under de senaste 30 dagarna exporteras från Connect Health-portalen. Exportresultatet inkluderar alla misslyckade AD FS-inloggningar i varje tidsfönster, så du kan anpassa filtreringen efter exporten. Förutom markerade sammanställningar i portalen visar exportresultatet också mer information om misslyckade inloggningar per IP-adress:
| Rapportobjekt | beskrivning |
|---|---|
| firstAuditTimestamp | Första tidsstämpeln när de misslyckade aktiviteterna startade under tidsfönstret för identifiering. |
| lastAuditTimestamp | Den senaste tidsstämpeln när de misslyckade aktiviteterna avslutades under tidsfönstret för identifiering. |
| attemptCountThresholdIsExceeded | Flagga ifall de aktuella aktiviteterna överstiger tröskelvärdet för aviseringar. |
| isWhitelistedIpAddress | Flagga ifall IP-adressen är filtrerad från avisering och rapportering. Privata IP-adresser (10.x.x.x,x, 172.x.x.x och 192.168.x.x) och Exchange IP-adresser filtreras och markeras som True. Om du ser privata IP-adressintervall är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webb-Programproxy-servern. |
Konfigurera aviseringsinställningar
Du kan uppdatera rapportens administratörskontakter via meddelande Inställningar. Som standard är det riskfyllda e-postmeddelandet för IP-aviseringar i ett inaktiverat tillstånd. Du kan aktivera meddelandet genom att växla knappen under Hämta e-postaviseringar för IP-adresser som överskrider rapporten för misslyckade aktivitetströskelvärden.
Precis som allmänna inställningar för aviseringsmeddelanden i Anslut Health kan du anpassa listan med avsedda meddelandemottagare om riskfyllda IP-rapporter härifrån. Du kan också meddela alla hybrididentitetsadministratörer när du gör ändringen.
Konfigurera tröskelinställningar
Du kan uppdatera tröskelvärdet för aviseringar i Tröskelvärde Inställningar. Systemtröskelvärdet anges med standardvärden, som visas i följande skärmbild och beskrivs i tabellen.
Tröskelvärdesinställningarna för risk-IP-rapporten är uppdelade i fyra kategorier.
| Tröskelvärdesinställning | beskrivning |
|---|---|
| (Felaktig U/P + extranätsutelåsning)/dag | Rapporterar aktiviteten och utlöser ett aviseringsmeddelande när antalet felaktiga lösenord plus antalet extranätsutelåsning överskrider tröskelvärdet per dag. Standardvärdet är 100. |
| (Felaktig U/P + extranätsutelåsning)/timme | Rapporterar aktiviteten och utlöser ett aviseringsmeddelande när antalet felaktiga lösenord plus antalet extranätsutelåsning överskrider tröskelvärdet per timme. Standardvärdet är 50. |
| Extranätsutelåsning/dag | Rapporterar aktiviteten och utlöser ett aviseringsmeddelande när antalet extranätsutelåsning överskrider tröskelvärdet per dag. Standardvärdet är 50. |
| Extranätsutelåsning/timme | Rapporterar aktiviteten och utlöser ett aviseringsmeddelande när antalet extranätsutelåsning överskrider tröskelvärdet per timme. Standardvärdet är 25. |
Kommentar
- Ändringen av rapporttröskelvärdet tillämpas en timme efter inställningsändringen.
- Befintliga rapporterade objekt påverkas inte av tröskeländringen.
- Vi rekommenderar att du analyserar antalet händelser som rapporteras i din miljö och justerar tröskelvärdet på lämpligt sätt.
Vanliga frågor
Varför visas privata IP-adressintervall i rapporten?
Privata IP-adresser (10.x.x.x,172.x.x.x och 192.168.x.x) och Exchange IP-adresser filtreras och markeras som True i listan över godkända IP-adresser. Om du ser privata IP-adressintervall är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webb-Programproxy-servern.
Varför visas IP-adresser för lastbalanseraren i rapporten?
Om du ser IP-adresser för lastbalanseraren är det mycket troligt att den externa lastbalanseraren inte skickar klientens IP-adress när den skickar begäran till webb-Programproxy-servern. Konfigurera lastbalanseraren korrekt för att vidarebefordra klientens IP-adress.
Hur blockerar jag IP-adressen?
Du bör lägga till den identifierade skadliga IP-adressen i brandväggen eller blockera den i Exchange.
Varför kan jag inte se några objekt i den här rapporten?
- Misslyckade inloggningsaktiviteter överskrider inte tröskelinställningarna.
- Se till att ingen "Hälsotjänst är inte uppdaterad" är aktiv i AD FS-serverlistan. Läs mer om felsökning av den här aviseringen.
- Granskningar är inte aktiverade i AD FS-servergrupper.
Varför kan jag inte komma åt rapporten?
Du måste ha behörighet som global administratör eller säkerhetsläsare . Kontakta din globala administratör om du vill ha åtkomst.