Sestava rizikových IP adres
Active Directory Federation Services (AD FS) (AD FS) můžou zákazníci zveřejnit koncové body ověřování hesel na internetu, aby koncovým uživatelům poskytovali ověřovací služby pro přístup k aplikacím SaaS, jako je Microsoft 365.
Chybný objekt actor se může pokusit o přihlášení k vašemu systému AD FS, aby odhadl heslo koncového uživatele a získal přístup k prostředkům aplikace. Od Windows Serveru 2012 R2 poskytuje služba AD FS funkci uzamčení extranetového účtu, která brání těmto typům útoků. Pokud používáte starší verzi, důrazně doporučujeme upgradovat systém AD FS na Windows Server 2016.
Kromě toho je možné, aby se jedna IP adresa pokusila o více přihlášení vůči více uživatelům. V těchto případech může být počet pokusů na uživatele pod prahovou hodnotou pro ochranu uzamčení účtu ve službě AD FS.
Microsoft Entra Připojení Health nyní poskytuje sestavu rizikových IP adres, která detekuje tuto podmínku a upozorní správce. Tady jsou klíčové výhody použití této sestavy:
- Zjistí IP adresy, které překračují prahovou hodnotu neúspěšných přihlášení založených na heslech.
- Podporuje neúspěšná přihlášení vyplývající z chybného hesla nebo stavu uzamčení extranetu.
- Poskytuje e-mailová oznámení správcům upozornění s přizpůsobitelným nastavením e-mailu.
- Poskytuje přizpůsobitelná nastavení prahových hodnot, která odpovídají zásadám zabezpečení organizace.
- Poskytuje sestavy ke stažení pro offline analýzu a integraci s jinými systémy prostřednictvím automatizace.
Poznámka:
Pokud chcete tuto sestavu použít, ujistěte se, že je povolené auditování AD FS. Další informace najdete v tématu Povolení auditování služby AD FS.
Pro přístup k této verzi Preview potřebujete oprávnění globálního Správa istratoru nebo čtenáře zabezpečení.
Co je v sestavě?
IP adresy klienta neúspěšné přihlašovací aktivity se agregují prostřednictvím webových proxy aplikací serverů. Každá položka v sestavě rizikových IP adres zobrazuje agregované informace o neúspěšných aktivitách přihlášení služby AD FS, které překročily určenou prahovou hodnotu.
Sestava obsahuje následující informace:
| Položka sestavy | Popis |
|---|---|
| Časové razítko | Časové razítko, které je založeno na místním čase Centra pro správu Microsoft Entra při spuštění časového intervalu detekce. Všechny denní události se generují o půlnoci času UTC. Hodinové události mají časové razítko zaokrouhlené na začátek hodiny. První čas spuštění aktivity najdete v exportovaném souboru z "firstAuditTimestamp". |
| Typ triggeru | Typ časového intervalu detekce. Typ triggeru agregace určuje, jestli se aktivuje každou hodinu nebo každý den. Jsou užitečné při rozdílu mezi útokem hrubou silou s vysokou frekvencí a pomalým útokem, kde se počet pokusů distribuuje v průběhu dne. |
| IP adresa | Jedna riziková IP adresa, ze které probíhaly aktivity přihlášení se špatným heslem nebo uzamčením extranetu. Může to být adresa IPv4 nebo IPv6. |
| Počet chybných zadání hesla | Počet chyb chyb s chybou hesla, ke kterým dochází z IP adresy během časového intervalu detekce. Některým uživatelům může docházet k chybám s chybou hesla několikrát. Poznámka: Tento počet nezahrnuje neúspěšné pokusy, které vyplývají z hesel, jejichž platnost vypršela. |
| Počet chyb uzamčení extranetu | Počet chyb uzamčení extranetu, ke kterým dochází z IP adresy během časového intervalu detekce. K chybám uzamčení extranetu může dojít vícekrát určitým uživatelům. Tento počet se zobrazí jenom v případě, že je uzamčení extranetu nakonfigurované ve službě AD FS (verze 2012R2 a novější). Poznámka: Tuto funkci důrazně doporučujeme povolit, pokud povolíte přihlášení extranetu, která používají hesla. |
| Počet vyzkoušených jedinečných uživatelů | Počet jedinečných uživatelských účtů, které se během časového intervalu zjišťování pokusí o IP adresu. Rozlišuje vzor útoku s jedním uživatelem a vzorem útoku s více uživateli. |
Například následující položka sestavy označuje, že během 28. února 2018 během 18:00–12:00 2018 neměla IP adresa 104.2XX.2XX.2XX.9 žádné chybné chyby hesla a chyby uzamčení extranetu 284. V rámci kritérií bylo ovlivněno čtrnáct jedinečných uživatelů. Událost aktivity překročila určenou hodinovou prahovou hodnotu sestavy.
Poznámka:
- V seznamu sestav se zobrazí jenom aktivity, které překračují určenou prahovou hodnotu.
- Tato sestava sleduje maximálně posledních 30 dnů.
- Tato sestava upozornění nezobrazuje IP adresy Exchange ani privátní IP adresy. Ty jsou však stále součástí exportovaného seznamu.
IP adresy nástroje pro vyrovnávání zatížení v seznamu
Agregace vašeho nástroje pro vyrovnávání zatížení mohla selhávat, což způsobilo dosažení prahové hodnoty upozornění. Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte nástroj pro vyrovnávání zatížení správně tak, aby předával IP adresu klienta.
Stažení sestavy rizikových IP adres
Pomocí funkce Stáhnout můžete z portálu služby Connect Health exportovat celý seznam rizikových IP adres za posledních 30 dnů. Výsledek exportu bude obsahovat všechny neúspěšné aktivity přihlášení ke službě AD FS v jednotlivých časových intervalech zjišťování, abyste si po exportu mohli upravit filtrování. Kromě zvýrazněných agregací na portálu bude výsledek exportu obsahovat také další podrobnosti o neúspěšných aktivitách přihlášení podle IP adresy:
| Položky sestavy | Popis |
|---|---|
| firstAuditTimestamp | První časové razítko, kdy se aktivity, které selhaly, spustily během časového intervalu detekce. |
| lastAuditTimestamp | Časové razítko posledního ukončení neúspěšných aktivit během časového intervalu detekce. |
| attemptCountThresholdIsExceeded | Příznak, který značí, jestli aktuální aktivity překračují prahovou hodnotu pro upozornění. |
| isWhitelistedIpAddress | Příznak, který značí, jestli se daná IP adresa filtruje z upozorňování a generování sestav. Privátní IP adresy (10.x.x.x, 172.x.x.x a 192.168.x.x) a IP adresy Exchange jsou filtrované a označené jako True. Pokud se zobrazují rozsahy privátních IP adres, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. |
Konfigurace nastavení oznámení
Kontakty správce sestavy můžete aktualizovat prostřednictvím Nastavení oznámení. Ve výchozím nastavení je e-mailové oznámení o rizikových upozorněních IP adres ve vypnutém stavu. Oznámení můžete povolit přepnutím tlačítka v části Získat e-mailová oznámení pro IP adresy překračující prahovou hodnotu aktivity, která selhala.
Stejně jako obecná nastavení oznámení o upozornění ve službě Připojení Health umožňuje přizpůsobit určený seznam příjemců oznámení o sestavě rizikových IP adres odsud. Při provádění změn můžete také upozornit všechny správce hybridních identit.
Konfigurace nastavení prahové hodnoty
Prahovou hodnotu pro upozorňování můžete aktualizovat v Nastavení prahové hodnoty. Prahová hodnota systému je nastavena s výchozími hodnotami, které jsou zobrazeny na následujícím snímku obrazovky a popsány v tabulce.
Nastavení prahové hodnoty sestavy rizikových IP adres jsou rozdělena do čtyř kategorií.
| Nastavení prahové hodnoty | Popis |
|---|---|
| (Chybné U/P + uzamčení extranetu) / den | Hlásí aktivitu a aktivuje upozornění, když počet chybných hesel plus počet uzamčení extranetu překročí prahovou hodnotu za den. Výchozí hodnota je 100. |
| (Chybné U/P + uzamčení extranetu) / hodina | Hlásí aktivitu a aktivuje upozornění, když počet chybných hesel plus počet uzamčení extranetu překročí prahovou hodnotu za hodinu. Výchozí hodnota je 50. |
| Uzamčení extranetu / den | Hlásí aktivitu a aktivuje upozornění, když počet uzamčení extranetu překročí prahovou hodnotu za den. Výchozí hodnota je 50. |
| Uzamčení extranetu / hodina | Hlásí aktivitu a aktivuje upozornění, když počet uzamčení extranetu překročí prahovou hodnotu za hodinu. Výchozí hodnota je 25. |
Poznámka:
- Změna prahové hodnoty sestavy se použije hodinu po změně nastavení.
- Stávající ohlášené položky změna prahových hodnot neovlivní.
- Doporučujeme analyzovat počet událostí hlášených ve vašem prostředí a odpovídajícím způsobem upravit prahovou hodnotu.
Často kladené dotazy
Proč se v sestavě zobrazují rozsahy privátních IP adres?
Privátní IP adresy (10.x.x.x, 172.x.x.x a 192.168.x.x) a IP adresy Exchange jsou filtrované a označené jako True v seznamu schválených IP adres. Pokud se zobrazují rozsahy privátních IP adres, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru.
Proč se v sestavě zobrazují IP adresy nástroje pro vyrovnávání zatížení?
Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte nástroj pro vyrovnávání zatížení správně tak, aby předával IP adresu klienta.
Jak můžu IP adresu zablokovat?
Do brány firewall byste měli přidat identifikovanou škodlivou IP adresu nebo ji blokovat v Exchangi.
Proč se mi v této sestavě nezobrazují žádné položky?
- Neúspěšné aktivity přihlášení nepřekračují nastavení prahové hodnoty.
- Ujistěte se, že v seznamu serverů AD FS není aktivní žádná výstraha Health Service není aktuální. Další informace o řešení potíží s tímto upozorněním.
- Audity nejsou povolené ve farmách SLUŽBY AD FS.
Proč nemůžu získat přístup k sestavě?
Musíte mít oprávnění globálního Správa istratoru nebo čtenáře zabezpečení. Požádejte o přístup globální Správa istrator.