風險 IP 報告 (預覽)
Active Directory 同盟服務 (AD FS) 客戶可能會向因特網公開密碼驗證端點,以提供驗證服務,讓使用者存取 Microsoft 365 等 SaaS 應用程式。
不良動作專案可能會嘗試對 AD FS 系統進行登入,以猜測使用者的密碼並取得應用程式資源的存取權。 從 Windows Server 2012 R2 開始,AD FS 會提供外部網路帳戶鎖定功能,以防止這些類型的攻擊。 如果您使用的是舊版,強烈建議您將AD FS系統升級至 Windows Server 2016。
此外,單一IP位址可能會嘗試對多個使用者多次登入。 在這些情況下,每位用戶的嘗試次數可能低於 AD FS 中帳戶鎖定保護的閾值。
Microsoft Entra 連線 Health 現在提供風險 IP 報告,可偵測此狀況並通知系統管理員。 以下是使用此報表的主要優點:
- 偵測超過密碼型登入失敗閾值的IP位址
- 支援因密碼錯誤或外部網路鎖定狀態而產生的失敗登入
- 提供電子郵件通知給警示系統管理員,並提供可自定義的電子郵件設定
- 提供符合組織安全策略的可自定義閾值設定
- 透過自動化提供離線分析和與其他系統整合的可下載報告
報表中有哪些內容?
失敗的登入活動用戶端 IP 位址會透過 Web 應用程式 Proxy 伺服器匯總。 Risky IP 報告中的每個專案都會顯示已超過指定臨界值之失敗 AD FS 登入活動的匯總資訊。
此報表會提供下列資訊:
| 報表專案 | 描述 |
|---|---|
| 時間戳記 | 在偵測時間範圍啟動時,以 Microsoft Entra 系統管理中心 為基礎的時間戳。 所有每日事件都會在 UTC 時間午夜產生。 每小時事件會將時間戳四捨五入為小時開頭。 您可以在導出的檔案中,從 「firstAuditTimestamp」 找到第一個活動開始時間。 |
| 觸發程序類型 | 偵測時間範圍的類型。 匯總觸發程式類型是每小時或每天。 它們有助於區分高頻率暴力密碼破解攻擊和緩慢攻擊,其中嘗試次數會分散在一整天。 |
| IP 位址 | 具有錯誤密碼或外部網路鎖定登入活動的單一具風險 IP 位址。 它可以是 IPv4 或 IPv6 位址。 |
| 不正確的密碼錯誤計數 | 偵測時間範圍期間從IP位址發生的錯誤密碼錯誤計數。 某些使用者可能會多次發生密碼錯誤。 注意:此計數不包含因密碼過期而失敗的嘗試。 |
| 外部網路鎖定錯誤計數 | 偵測時間範圍期間從IP位址發生的外部網路鎖定錯誤計數。 外部網路鎖定錯誤可能會對特定使用者多次發生。 只有在 AD FS 中設定外部網路鎖定時,才會顯示此計數(版本 2012R2 和更新版本)。 注意:如果您允許使用密碼的外部網路登入,強烈建議您啟用此功能。 |
| 嘗試的唯一使用者 | 在偵測時間範圍期間,從IP位址嘗試的唯一用戶帳戶計數。 區分單一用戶攻擊模式和多用戶攻擊模式。 |
例如,下列報告專案指出,在 2018 年 2 月 28 日下午 6 點到 7 點期間,IP 位址 104.2XX.2XX.9 沒有錯誤的密碼錯誤和 284 個外部網路鎖定錯誤。 準則內有14個唯一使用者受到影響。 活動事件超過指定的報表每小時閾值。
注意
- 報表清單中只會顯示超過指定臨界值的活動。
- 這份報告最多追蹤過去 30 天。
- 此警示報告不會顯示 Exchange IP 位址或私人 IP 位址。 它們仍會包含在匯出清單中。
清單中的負載平衡器 IP 位址
您的負載平衡器匯總可能失敗,導致它達到警示閾值。 如果您看到負載平衡器 IP 位址,您的外部負載平衡器很可能在將要求傳遞至 Web 應用程式 Proxy 伺服器時,不會傳送用戶端 IP 位址。 正確設定負載平衡器以轉送用戶端IP位址。
下載具風險的IP報告
使用 [下載] 功能,過去 30 天內可匯出整個具風險的 IP 位址清單,從 連線 Health Portal 導出結果會在每次偵測時間範圍中包含所有失敗的 AD FS 登入活動,因此您可以在匯出之後自定義篩選。 除了入口網站中反白顯示的匯總之外,匯出結果也會顯示每個IP位址失敗登入活動的詳細數據:
| 報表專案 | 描述 |
|---|---|
| firstAuditTimestamp | 偵測時間範圍期間啟動失敗活動的第一個時間戳。 |
| lastAuditTimestamp | 偵測時間範圍期間失敗活動結束的最後一個時間戳。 |
| attemptCountThresholdIsExceeded | 如果目前活動超過警示閾值,則為旗標。 |
| isWhitelistedIpAddress | 如果IP位址已從警示和報告篩選,則為旗標。 私人IP位址(10.x.x.x、172.x.x.x 和 192.168.x.x)和Exchange IP位址會篩選並標示為 True。 如果您看到私人IP位址範圍,您的外部負載平衡器很可能在將要求傳遞至Web應用程式 Proxy伺服器時不會傳送用戶端IP位址。 |
設定通知設定
您可以透過通知 設定 更新報表的系統管理員聯繫人。 根據預設,具風險的IP警示電子郵件通知處於 關閉 狀態。 您可以切換 [取得IP 位址超過失敗活動閾值報告的電子郵件通知] 底下的按鈕來啟用通知。
如同 連線 Health 中的一般警示通知設定,它可讓您從這裡自定義有關具風險 IP 報告的指定通知收件者清單。 您也可以在進行變更時通知所有混合式身分識別系統管理員。
設定臨界值設定
您可以在閾值 設定 中更新警示閾值。 系統會使用預設值來設定系統閾值,如下列螢幕快照所示,並說明於數據表中。
風險 IP 報告閾值設定分成四個類別。
| 閾值設定 | 描述 |
|---|---|
| (不正確的 U/P + 外部網路鎖定) / 日 | 報告活動,並在錯誤密碼計數加上外部網路鎖定計數超過每天閾值時觸發警示通知。 預設值是 100。 |
| (不正確的 U/P + 外部網路鎖定) / 小時 | 報告活動,並在錯誤密碼計數加上外部網路鎖定計數超過每小時閾值時觸發警示通知。 預設值為 50。 |
| 外部網路鎖定 / 日 | 報告活動,並在每日外部網路鎖定計數超過閾值時觸發警示通知。 預設值為 50。 |
| 外部網路鎖定 / 小時 | 報告活動,並在外部網路鎖定計數超過每小時閾值時觸發警示通知。 預設值為 25。 |
注意
- 變更報表閾值將會套用設定變更后的一小時。
- 現有的回報專案不會受到臨界值變更的影響。
- 建議您分析環境中回報的事件數目,並適當地調整臨界值。
常見問題集
為什麼我在報告中看到私人IP位址範圍?
私人IP位址(10.x.x.x、172.x.x.x和192.168.x.x)和Exchange IP位址會在IP核准清單中篩選並標示為True。 如果您看到私人IP位址範圍,您的外部負載平衡器很可能在將要求傳遞至Web應用程式 Proxy 伺服器時,不會傳送用戶端IP位址。
為什麼我在報告中看到負載平衡器 IP 位址?
如果您看到負載平衡器 IP 位址,您的外部負載平衡器很可能在將要求傳遞至 Web 應用程式 Proxy 伺服器時,不會傳送用戶端 IP 位址。 正確設定負載平衡器以轉送用戶端IP位址。
如何封鎖IP位址?
您應該將已識別的惡意IP位址新增至防火牆,或在Exchange中加以封鎖。
為什麼我看不到此報表中的任何專案?
- 失敗的登入活動未超過臨界值設定。
- 請確定AD FS 伺服器清單中沒有作用中的「健康情況服務不是最新」警示。 深入瞭解 如何針對此警示進行疑難解答。
- AD FS 伺服器陣列中未啟用稽核。
為什麼我無法存取報表?
您必須擁有全域 管理員 istrator 或安全性讀取者許可權。 請連絡 Global 管理員 istrator 以取得存取權。