Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Active Directory Federation Services (AD FS) (AD FS) můžou zákazníci zveřejnit koncové body ověřování hesel na internetu, aby koncovým uživatelům poskytovali ověřovací služby pro přístup k aplikacím SaaS, jako je Microsoft 365.
Je možné, že se útočník pokusí o přihlášení k vašemu systému AD FS hádáním hesla koncového uživatele a tím získá přístup ke zdrojům aplikací. Od Windows Serveru 2012 R2 poskytuje služba AD FS funkci uzamčení extranetového účtu, která brání těmto typům útoků. Pokud používáte starší verzi, důrazně doporučujeme upgradovat systém AD FS na Windows Server 2016.
Kromě toho je možné, aby se jedna IP adresa pokusila o více přihlášení vůči více uživatelům. V těchto případech může být počet pokusů na uživatele pod prahovou hodnotou pro ochranu uzamčení účtu ve službě AD FS.
Microsoft Entra Connect Health nyní poskytuje sestavu rizikových IP adres, která detekuje tuto podmínku a upozorní správce. Zde jsou hlavní výhody využití této zprávy:
- Zjistí IP adresy, které překračují prahovou hodnotu neúspěšných přihlášení založených na heslech.
- Podporuje neúspěšná přihlášení vyplývající z chybného hesla nebo stavu uzamčení extranetu.
- Poskytuje e-mailová oznámení správcům upozornění s přizpůsobitelným nastavením e-mailu.
- Poskytuje přizpůsobitelná nastavení prahových hodnot, která odpovídají zásadám zabezpečení organizace.
- Nabízí stahovatelné sestavy pro offline analýzu a integraci s ostatními systémy pomocí automatizace.
Poznámka:
Pokud chcete tuto sestavu použít, ujistěte se, že je povolené auditování AD FS. Další informace najdete v tématu Povolení auditování služby AD FS.
Pro přístup k této verzi náhledu potřebujete oprávnění Čtenáře zabezpečení.
Co je ve zprávě?
IP adresy klienta neúspěšných aktivit přihlášení se agregují prostřednictvím proxy serverů webových aplikací. Každá položka v sestavě Risky IP zobrazuje agregované informace o neúspěšných aktivitách přihlášení k AD FS, které překročily určenou prahovou hodnotu.
Sestava poskytuje následující informace:
| Nahlásit položku | Popis |
|---|---|
| Časové razítko | Časové razítko, které je založeno na místním čase administrátorského centra Microsoft Entra, když začíná časové okno detekce. Všechny denní události se generují o půlnoci času UTC. Hodinové události mají časové razítko zaokrouhlené na začátek hodiny. První čas spuštění aktivity najdete v exportovaném souboru z "firstAuditTimestamp". |
| Typ triggeru | Typ časového intervalu detekce. Typ triggeru agregace určuje, jestli se aktivuje každou hodinu nebo každý den. Jsou užitečné při rozdílu mezi útokem hrubou silou s vysokou frekvencí a pomalým útokem, kde se počet pokusů distribuuje v průběhu dne. |
| IP adresa | Jedna riziková IP adresa, ze které probíhaly aktivity přihlášení se špatným heslem nebo uzamčením extranetu. Může to být adresa IPv4 nebo IPv6. |
| Počet chybných zadání hesla | Počet chyb hesla, ke kterým dochází z IP adresy během časového okna detekce. Některým uživatelům se může několikrát stát chyba s chybným heslem. Poznámka: Tento počet nezahrnuje neúspěšné pokusy, které vyplývají z hesel, jejichž platnost vypršela. |
| Počet chyb uzamčení extranetu | Počet chyb uzamčení extranetu, ke kterým dochází z IP adresy během časového intervalu detekce. Chyby uzamčení extranetu se mohou vyskytovat několikrát u určitých uživatelů. Tento počet se zobrazí jenom v případě, že je uzamčení extranetu nakonfigurované ve službě AD FS (verze 2012R2 a novější). Poznámka: Tuto funkci důrazně doporučujeme povolit, pokud povolíte přihlášení extranetu, která používají hesla. |
| Počet jedinečných uživatelů, kteří se pokusili | Počet jedinečných uživatelských účtů, které jsou pokusně přístupné z IP adresy během časového intervalu detekce. Rozlišuje vzor útoku s jedním uživatelem a vzorem útoku s více uživateli. |
Například následující položka sestavy označuje, že během časového úseku od 18:00 do 19:00 dne 28. února 2018 neměla IP adresa 104.2XX.2XX.9 žádné chybné pokusy o zadání hesla a 284 chyby uzamčení extranetu. V rámci kritérií bylo ovlivněno čtrnáct jedinečných uživatelů. Událost aktivity překročila stanovenou hodinovou prahovou hodnotu zprávy.
Poznámka:
- V seznamu reportů se zobrazí jenom aktivity, které překračují určenou prahovou hodnotu.
- Tato zpráva sleduje maximálně posledních 30 dnů.
- Tato sestava upozornění nezobrazuje IP adresy Exchange ani soukromé IP adresy. Ty jsou však stále součástí exportovaného seznamu.
IP adresy vyrovnávače zatížení v seznamu
Agregace vašeho nástroje pro vyrovnávání zatížení mohla selhávat, což způsobilo dosažení prahové hodnoty upozornění. Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte nástroj pro vyrovnávání zatížení správně tak, aby předával IP adresu klienta.
Stáhněte si sestavu rizikových IP adres
Pomocí funkce Stažení je možné z portálu Connect Health exportovat celý seznam rizikových IP adres za posledních 30 dnů. Výsledek exportu bude zahrnovat všechny neúspěšné přihlašovací aktivity služby AD FS v každém časovém intervalu detekce, abyste mohli filtrování přizpůsobit po exportu. Kromě zvýrazněných agregací na portálu bude výsledek exportu obsahovat také další podrobnosti o neúspěšných aktivitách přihlášení podle IP adresy:
| Položky sestavy | Popis |
|---|---|
| časováZnámkaPrvníhoAuditu | První časové razítko označující začátek selhavších aktivit v průběhu detekčního časového okna. |
| poslední časová značka auditu (lastAuditTimestamp) | Časové razítko posledního ukončení neúspěšných aktivit během časového intervalu detekce. |
| attemptCountThresholdIsExceeded (překročení prahové hodnoty počtu pokusů) | Příznak, který značí, jestli aktuální aktivity překračují prahovou hodnotu pro upozornění. |
| jeNaBíléListiněIpAdresa | Zda je IP adresa filtrována z upozornění a reportování. Privátní IP adresy (10.x.x.x, 172.x.x.x a 192.168.x.x) a IP adresy Exchange jsou filtrované a označené jako True. Pokud se zobrazují rozsahy privátních IP adres, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. |
Konfigurace nastavení oznámení
Kontakty správců sestavy můžete aktualizovat prostřednictvím Nastavení oznámení. Ve výchozím nastavení je e-mailové oznámení o rizikových IP adresách ve vypnutém stavu. Oznámení můžete povolit přepnutím tlačítka v části Získat e-mailová oznámení pro IP adresy, které překračují prahovou hodnotu neúspěšné aktivity.
Podobně jako obecná nastavení oznámení upozornění ve službě Connect Health umožňuje přizpůsobit seznam určených příjemců oznámení o sestavě rizikových IP adres zde. Při provádění změn můžete také upozornit všechny správce hybridních identit.
Konfigurace nastavení prahové hodnoty
Prahovou hodnotu pro upozorňování můžete aktualizovat v nastavení prahové hodnoty. Prahová hodnota systému je nastavena s výchozími hodnotami, které jsou zobrazeny na následujícím snímku obrazovky a popsány v tabulce.
Nastavení prahových hodnot sestavy rizikových IP adres jsou rozdělena do čtyř kategorií.
| Nastavení prahové hodnoty | Popis |
|---|---|
| (Chybné uživatelské jméno/heslo + uzamčení extranetu) za den | Hlásí aktivitu a aktivuje upozornění, když počet chybných hesel plus počet uzamčení extranetu překročí prahovou hodnotu za den. Výchozí hodnota je 100. |
| (Špatné uživatelské jméno/heslo + blokování extranetu) za hodinu | Hlásí aktivitu a aktivuje upozornění, když počet chybných hesel plus počet uzamčení extranetu překročí prahovou hodnotu za hodinu. Výchozí hodnota je 50. |
| Uzamčení extranetu / den | Hlásí aktivitu a aktivuje upozornění, když počet uzamčení extranetu překročí prahovou hodnotu za den. Výchozí hodnota je 50. |
| Uzamčení extranetu / hodina | Hlásí aktivitu a aktivuje upozornění, když počet uzamčení extranetu překročí prahovou hodnotu za hodinu. Výchozí hodnota je 25. |
Poznámka:
- Změna prahové hodnoty hlášení se uplatní až hodinu po změně nastavení.
- Stávající ohlášené položky změna prahových hodnot neovlivní.
- Doporučujeme analyzovat počet událostí hlášených ve vašem prostředí a odpovídajícím způsobem upravit prahovou hodnotu.
Často kladené dotazy
Proč se mi v sestavě zobrazují rozsahy privátních IP adres?
Privátní IP adresy (10.x.x.x, 172.x.x.x a 192.168.x.x) a IP adresy Exchange jsou filtrované a označené jako True v seznamu schválených IP adres. Pokud se zobrazují rozsahy privátních IP adres, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru.
Proč se v sestavě zobrazují IP adresy vyrovnávače zatížení?
Pokud se vám zobrazují IP adresy nástroje pro vyrovnávání zatížení, je vysoce pravděpodobné, že váš externí nástroj pro vyrovnávání zatížení neodesílá IP adresu klienta, když požadavek předá webovému proxy aplikací serveru. Nakonfigurujte nástroj pro vyrovnávání zatížení správně tak, aby předával IP adresu klienta.
Jak můžu IP adresu zablokovat?
Do brány firewall byste měli přidat identifikovanou škodlivou IP adresu nebo ji blokovat v Exchangi.
Proč nejsou v této zprávě vidět žádné položky?
- Neúspěšné aktivity přihlášení nepřekračují nastavení prahové hodnoty.
- Ujistěte se, že v seznamu serverů AD FS není aktivní žádné upozornění, že služba zdraví není aktuální. Další informace o řešení potíží s tímto upozorněním.
- Audity nejsou zapnuté ve farmách SLUŽBY AD FS.
Proč nemůžu získat přístup k zprávě?
Musíte mít oprávnění Čtenáře zabezpečení.