Rapport sur les adresses IP risquées
Les clients des services de fédération Active Directory (AD FS) peuvent exposer des points de terminaison d’authentification par mot de passe à Internet pour fournir des services d’authentification permettant aux utilisateurs finaux d’accéder aux applications SaaS telles que Microsoft 365.
Un intervenant mal intentionné peut tenter de se connecter à votre système AD FS pour deviner le mot de passe d’un utilisateur final, puis accéder aux ressources de l’application. Depuis Windows Server 2012 R2, AD FS fournit la fonctionnalité de verrouillage de compte extranet pour éviter ces types d’attaques. Si vous utilisez une version antérieure, nous vous recommandons vivement de mettre à niveau votre système AD FS vers Windows Server 2016.
Un utilisateur unique peut également, depuis une seule adresse IP, tenter de se connecter plusieurs fois à la place de plusieurs utilisateurs. Dans ce cas, le nombre de tentatives par utilisateur risque de se trouver sous le seuil pour la protection par verrouillage de compte dans AD FS.
Microsoft Entra Connect Health fournit désormais le Rapport d’adresses IP à risque qui détecte cette condition et informe les administrateurs. Voici les principaux avantages de l’utilisation de ce rapport :
- Il détecte les adresses IP qui dépassent un seuil d’échecs de connexion par mot de passe.
- Il prend en charge les échecs de connexion dus à un mot de passe incorrect ou à un état de verrouillage extranet.
- Il fournit des notifications par e-mail signalant le problème aux administrateurs avec des paramètres d’e-mail personnalisables.
- Il fournit des paramètres de seuil personnalisables qui correspondent à la stratégie de sécurité d’une organisation.
- Il fournit des rapports téléchargeables pour analyse hors connexion et intégration avec d’autres systèmes par automatisation.
Remarque
Pour utiliser ce rapport, vous devez vous assurer que l’audit AD FS est activé. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Activer l’audit pour AD FS.
Pour accéder à cette préversion, vous devez disposer d’autorisations Lecteur de sécurité.
Contenu du rapport
Les adresses IP clientes des activités de connexion ayant échoué sont agrégées via des serveurs Proxy d’application web. Chaque élément du rapport d’adresse IP risquée affiche des informations agrégées sur les échecs de connexion AD FS qui dépassent le seuil défini.
Ce rapport fournit les informations suivantes :
Élément de rapport | Description |
---|---|
Horodatage | L’horodatage basé sur l’heure locale du centre d’administration Microsoft Entra au démarrage de la fenêtre de temps détection. Tous les événements quotidiens sont générés à minuit, heure UTC. L’horodatage des événements se produisant toutes les heures est arrondi au début de l’heure. Vous trouverez l’heure de début de la première activité sous l’élément « firstAuditTimestamp » du fichier exporté. |
Type de déclencheur | Type de fenêtre de temps de détection. Les types de déclencheurs sont regroupés par heure ou par jour. Cela permet de faire la différence entre une attaque par force brute de haute fréquence et une attaque lente, où le nombre de tentatives est réparti sur toute la journée. |
Adresse IP | L’adresse IP risquée unique présentant une activité de mot de passe incorrect ou de connexion avec verrouillage extranet. Il peut s’agir d’une adresse IPv4 ou IPv6. |
Nombre de mots de passe incorrects | Nombre d’erreurs dues à un mot de passe incorrect sur l’adresse IP dans la fenêtre de temps de détection. Les erreurs dues à un mot de passe incorrect peuvent se produire plusieurs fois chez certains utilisateurs. Remarque : ce nombre n’inclut pas les tentatives infructueuses résultant de mots de passe qui ont expiré. |
Nombre d’erreurs de verrouillage extranet | Le nombre d’erreurs dues à un verrouillage extranet sur l’adresse IP dans la fenêtre de temps de détection. Les erreurs de verrouillage extranet peuvent se produire plusieurs fois chez certains utilisateurs. Ce nombre s’affiche uniquement si le verrouillage extranet est configuré dans AD FS (versions 2012 R2 et ultérieures). Remarque : nous vous recommandons vivement d’activer cette fonction si vous autorisez les connexions extranet par mots de passe. |
Tentative d’utilisateurs uniques | Nombre de tentatives d’utilisateurs uniques sur l’adresse IP dans la fenêtre de temps de détection. Permet de différencier un modèle d’attaque à utilisateur unique et un modèle d’attaque à plusieurs utilisateurs. |
Par exemple, l’élément de rapport suivant indique que dans la fenêtre de 18 h à 19 h du 28 février 2018, l’adresse IP 104.2XX.2XX.9 ne comportait aucune erreur due à un mot de passe incorrect et comportait 284 erreurs de verrouillage extranet. Quatorze utilisateurs uniques ont été affectés dans les critères. L’événement d’activité a dépassé le seuil par heure défini pour le rapport.
Remarque
- Seules les activités qui dépassent le seuil défini apparaissent dans la liste des rapports.
- Ce rapport assure au maximum le suivi des 30 derniers jours.
- Ce rapport d’alerte n’affiche pas les adresses IP Exchange ou les adresses IP privées. Elles sont tout de même incluses dans la liste d’exportation.
Adresses IP de l’équilibreur de charge dans la liste
L’agrégation de votre équilibreur de charge a peut-être échoué, puis atteint le seuil d’alerte en conséquence. Si des adresses d’équilibreur de charge apparaissent, il est fort probable que votre équilibreur de charge externe n’envoie pas l’adresse IP cliente lorsqu’il transfère la requête au serveur Proxy d’application web. Configurez correctement votre équilibreur de charge pour qu’il transfère l’adresse IP cliente.
Télécharger le rapport sur les adresses IP à risque
Avec la fonctionnalité Télécharger, la liste entière des adresses IP à risque au cours des 30 derniers jours peut être exportée à partir du portail Connect Health. Le résultat de l’exportation inclut toutes les activités de connexion AD FS ayant échoué dans chaque fenêtre de temps de détection, et vous pouvez personnaliser le filtrage après l’exportation. Outre les agrégations en surbrillance dans le portail, le résultat de l’exportation montre également plus de détails sur les activités de connexion ayant échoué par adresse IP :
Élément de rapport | Description |
---|---|
firstAuditTimestamp | Premier horodatage de démarrage des activités infructueuses dans la fenêtre de temps de détection. |
lastAuditTimestamp | Dernier horodatage de fin des activités infructueuses dans la fenêtre de temps de détection. |
attemptCountThresholdIsExceeded | Un marquage indique si les activités en cours dépassent le seuil d’alerte. |
isWhitelistedIpAddress | Un marquage indique si l’adresse IP est filtrée des alertes et des rapports. Les adresses IP privées (10.x.x.x, 172.x.x.x et 192.168.x.x) et les adresses IP Exchange sont filtrées, puis marquées comme True. Si des plages d’adresses IP privées apparaissent, il est fort probable que votre équilibreur de charge externe n’envoie pas l’adresse IP cliente lorsqu’il transmet la requête au serveur Proxy d’application web. |
Configurer les paramètres de notification
Vous pouvez mettre à jour les contacts de l’administrateur du rapport via les paramètres de notification. Par défaut, la notification par e-mail des alertes d’adresse IP risquée est à l’état désactivé. Vous pouvez activer la notification en basculant le bouton sous Obtenir des notifications par e-mail pour les adresses IP dépassant le rapport de seuil d’échec d’activité.
Comme les paramètres de notification d’alerte générique dans Connect Health, cette fonction vous permet de personnaliser la liste des destinataires désignés de la notification concernant le rapport sur les adresses IP à risque depuis cet emplacement. Vous pouvez également informer tous les administrateurs d’identité hybride quand vous faites la modification.
Configurer les paramètres de seuil
Vous pouvez mettre à jour le seuil d’alerte dans Paramètres de seuil. Le seuil du système est défini avec des valeurs par défaut, qui apparaissent dans la capture d’écran suivante et sont décrites dans le tableau.
Les paramètres de seuil du rapport sur les adresses IP à risque sont séparés en quatre catégories.
Paramètre de seuil | Description |
---|---|
(Verrouillage U/P + extranet incorrect) / Jour | Signale l’activité, puis déclenche une notification d’alerte lorsque le nombre de mots de passe incorrects et de verrouillages extranet dépasse le seuil, par jour. La valeur par défaut est 100. |
(Verrouillage U/P + extranet incorrect) / Heure | Signale l’activité, puis déclenche une notification d’alerte lorsque le total de mots de passe incorrects et de verrouillages extranet dépasse le seuil, par heure. La valeur par défaut est 50. |
Verrouillage extranet / Jour | Signale l’activité, puis déclenche une notification d’alerte lorsque le nombre de verrouillages extranet dépasse le seuil, par jour. La valeur par défaut est 50. |
Verrouillage extranet / Heure | Signale l’activité, puis déclenche une notification d’alerte lorsque le nombre de verrouillages extranet dépasse le seuil, par heure. La valeur par défaut est 25. |
Remarque
- La modification du seuil du rapport s’applique une heure après la modification de ce paramètre.
- Les éléments signalés existants ne seront pas affectés par la modification du seuil.
- Nous vous recommandons d’analyser le nombre d’événements signalés dans votre environnement, puis de régler le seuil en conséquence.
Forum aux questions
Pourquoi des plages d’adresses IP privées s’affichent-elles dans le rapport ?
Les adresses IP privées (10.x.x.x, 172.x.x.x et 192.168.x.x) et les adresses IP Exchange sont filtrées, puis marquées comme True dans la liste d’adresses IP approuvées. Si des plages d’adresses IP privées apparaissent, il est fort probable que votre équilibreur de charge externe n’envoie pas l’adresse IP cliente lorsqu’il transmet la requête au serveur Proxy d’application web.
Pourquoi des adresses IP d’équilibreur de charge s’affichent-elles dans le rapport ?
Si des adresses d’équilibreur de charge apparaissent, il est fort probable que votre équilibreur de charge externe n’envoie pas l’adresse IP cliente lorsqu’il transfère la requête au serveur Proxy d’application web. Configurez correctement votre équilibreur de charge pour qu’il transfère l’adresse IP cliente.
Comment bloquer l’adresse IP ?
Vous devez ajouter l’adresse IP malveillante identifiée dans le pare-feu ou la bloquer dans Exchange.
Pourquoi le rapport n’affiche-t-il aucun élément ?
- Les activités de connexion infructueuse ne dépassent pas les paramètres de seuil.
- Vérifiez qu’aucune alerte vous avertissant que « Le service Health n’est pas à jour » n’est active dans la liste des serveurs AD FS. En savoir plus sur la résolution de cette alerte.
- Les audits ne sont pas activés dans les batteries de serveurs AD FS.
Pourquoi ne puis-je pas accéder au rapport ?
Vous devez disposer des autorisations Lecteur de sécurité.