Bagikan melalui


Laporan IP Berisiko

Pelanggan Layanan Federasi Direktori Aktif (AD FS) dapat mengekspos titik akhir autentikasi kata sandi ke internet untuk menyediakan layanan autentikasi bagi pengguna akhir untuk mengakses aplikasi SaaS seperti Microsoft 365.

Dimungkinkan bagi aktor jahat untuk mencoba masuk terhadap sistem Layanan Federasi Direktori Aktif Anda untuk menebak kata sandi pengguna akhir dan mendapatkan akses ke sumber daya aplikasi. Pada Windows Server 2012 R2, Layanan Federasi Direktori Aktif menyediakan fungsi penguncian akun ekstranet untuk mencegah jenis serangan ini. Jika Anda menggunakan versi yang lebih lama, kami sangat menyarankan Agar Anda meningkatkan sistem Layanan Federasi Direktori Aktif Anda ke Windows Server 2016.

Selain itu, dimungkinkan untuk satu alamat IP untuk mencoba beberapa login terhadap beberapa pengguna. Dalam kasus ini, jumlah upaya per pengguna mungkin berada di bawah ambang batas untuk perlindungan penguncian akun di Layanan Federasi Direktori Aktif.

Microsoft Entra Connect Health sekarang menyediakan laporan IP Riskan, yang mendeteksi kondisi ini dan memberi tahu administrator. Berikut adalah manfaat utama menggunakan laporan ini:

  • Mendeteksi alamat IP yang melebihi ambang batas login berbasis kata sandi yang gagal
  • Mendukung proses masuk yang gagal yang dihasilkan dari kata sandi yang buruk atau status penguncian ekstranet
  • Menyediakan pemberitahuan email kepada administrator pemberitahuan, dengan pengaturan email yang dapat disesuaikan
  • Menyediakan pengaturan ambang batas yang dapat disesuaikan yang sesuai dengan kebijakan keamanan organisasi
  • Menyediakan laporan yang dapat diunduh untuk analisis offline dan integrasi dengan sistem lain melalui otomatisasi

Nota

Untuk menggunakan laporan ini, Anda harus memastikan bahwa audit LAYANAN Federasi Direktori Aktif diaktifkan. Untuk informasi selengkapnya, lihat Mengaktifkan audit untuk Layanan Federasi Direktori Aktif.

Untuk mengakses rilis pratinjau ini, Anda memerlukan izin Pembaca Keamanan.  

Apa yang ada dalam laporan?

Alamat IP klien aktivitas masuk yang gagal dikumpulkan melalui server Web Proksi Aplikasi. Setiap item dalam laporan IP Berisiko menunjukkan informasi agregat tentang aktivitas masuk Layanan Federasi Direktori Aktif yang gagal yang telah melebihi ambang yang ditunjuk.

Laporan ini menyediakan informasi berikut:

Cuplikan layar yang memperlihatkan laporan IP Berisiko dengan judul kolom disorot.

Item laporan Deskripsi
Stempel Waktu Stempel waktu yang didasarkan pada pusat admin Microsoft Entra waktu lokal saat jendela waktu deteksi dimulai.
Semua peristiwa harian dihasilkan pada tengah malam waktu UTC.
Peristiwa per jam memiliki stempel waktu yang dibulatkan ke awal jam. Anda dapat menemukan waktu mulai aktivitas pertama dari "firstAuditTimestamp" dalam file yang diekspor.
Jenis Pemicu Jenis jendela waktu deteksi. Jenis pemicu agregasi adalah per jam atau per hari. Mereka sangat membantu dalam membedakan antara serangan brute force frekuensi tinggi dan serangan lambat, di mana jumlah upaya didistribusikan sepanjang hari.
Alamat IP Satu alamat IP berisiko yang memiliki kata sandi buruk atau aktivitas masuk penguncian ekstranet. Ini bisa berupa alamat IPv4 atau IPv6.
Jumlah Kesalahan Kata Sandi Buruk Jumlah kesalahan kata sandi buruk yang terjadi dari alamat IP selama jendela waktu deteksi. Kesalahan kata sandi yang buruk dapat terjadi beberapa kali pada pengguna tertentu. Catatan: Jumlah ini tidak menyertakan upaya yang gagal yang dihasilkan dari kata sandi yang kedaluwarsa.
Jumlah Kesalahan Penguncian Ekstranet Jumlah kesalahan penguncian ekstranet yang terjadi dari alamat IP selama jendela waktu deteksi. Kesalahan penguncian ekstranet dapat terjadi beberapa kali kepada pengguna tertentu. Jumlah ini ditampilkan hanya jika Penguncian Ekstranet dikonfigurasi di Layanan Federasi Direktori Aktif (versi 2012R2 dan yang lebih baru). Catatan: Kami sangat menyarankan untuk mengaktifkan fitur ini jika Anda mengizinkan login ekstranet yang menggunakan kata sandi.
Pengguna Unik Dicoba Jumlah akun pengguna unik yang dicoba dari alamat IP selama jendela waktu deteksi. Membedakan antara pola serangan pengguna tunggal dan pola serangan multi-pengguna.

Misalnya, item laporan berikut menunjukkan bahwa selama jendela 18.00 hingga 19.00 pada 28 Februari 2018, alamat IP 104.2XX.2XX.9 tidak memiliki kesalahan kata sandi yang buruk dan kesalahan penguncian ekstranet 284. Empat belas pengguna unik terpengaruh dalam kriteria. Peristiwa aktivitas melebihi ambang per jam laporan yang ditunjuk.

Cuplikan layar yang memperlihatkan contoh entri laporan IP Riskan.

Nota

  • Hanya aktivitas yang melebihi ambang batas yang ditunjuk yang ditampilkan dalam daftar laporan.
  • Laporan ini paling lama melacak 30 hari terakhir.
  • Laporan pemberitahuan ini tidak menampilkan alamat IP Exchange atau alamat IP privat. Mereka masih termasuk dalam daftar ekspor.

Cuplikan layar yang memperlihatkan laporan IP Berisiko dengan tombol Unduh, Pengaturan Pemberitahuan, dan Pengaturan Ambang Disorot.

Alamat IP load balancer dalam daftar

Agregat load balancer Anda mungkin gagal, menyebabkannya mencapai ambang batas pemberitahuan. Jika Anda melihat alamat IP load balancer, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi. Konfigurasikan load balancer Anda dengan benar untuk meneruskan alamat IP klien.

Unduh laporan IP Riskan

Menggunakan fungsionalitas Unduh, seluruh daftar alamat IP berisiko dalam 30 hari terakhir dapat diekspor dari Portal Connect Health. Hasil ekspor akan mencakup semua aktivitas masuk LAYANAN Federasi Direktori Aktif yang gagal di setiap jendela waktu deteksi, sehingga Anda dapat menyesuaikan pemfilteran setelah ekspor. Selain agregasi yang disorot di portal, hasil ekspor juga menunjukkan detail selengkapnya tentang aktivitas masuk yang gagal per alamat IP:

Item Laporan Deskripsi
firstAuditTimestamp Stempel pertama kali ketika aktivitas yang gagal dimulai selama jendela waktu deteksi.
lastAuditTimestamp Stempel terakhir kali ketika aktivitas yang gagal berakhir selama jendela waktu deteksi.
attemptCountThresholdIsExceededed Bendera jika aktivitas saat ini melebihi ambang pemberitahuan.
isWhitelistedIpAddress Bendera jika alamat IP difilter dari pemberitahuan dan pelaporan. Alamat IP privat (10.x.x.x, 172.x.x.x dan 192.168.x.x) dan alamat IP Exchange difilter dan ditandai sebagai True. Jika Anda melihat rentang alamat IP privat, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi.

Mengonfigurasi pengaturan pemberitahuan

Anda dapat memperbarui kontak administrator laporan melalui Pengaturan Pemberitahuan. Secara default, pemberitahuan email pemberitahuan IP berisiko dalam status nonaktif . Anda dapat mengaktifkan pemberitahuan dengan mengaktifkan tombol di bawah Dapatkan pemberitahuan email untuk alamat IP yang melebihi laporan ambang aktivitas yang gagal.

Seperti pengaturan pemberitahuan pemberitahuan generik di Connect Health, ini memungkinkan Anda untuk menyesuaikan daftar penerima pemberitahuan yang ditunjuk tentang laporan IP Berisiko dari sini. Anda juga dapat memberi tahu semua Administrator Identitas Hibrid saat melakukan perubahan.

Mengonfigurasi pengaturan ambang batas

Anda dapat memperbarui ambang pemberitahuan di Pengaturan Ambang Batas. Ambang sistem diatur dengan nilai default, yang diperlihatkan dalam cuplikan layar berikut dan dijelaskan dalam tabel.

Pengaturan ambang batas laporan IP risiko dipisahkan menjadi empat kategori.

Cuplikan layar Portal Microsoft Entra Connect Health yang memperlihatkan empat kategori pengaturan ambang batas dan nilai defaultnya.

Pengaturan ambang batas Deskripsi
(U/P + Penguncian Ekstranet Buruk) / Hari Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Kata Sandi Buruk ditambah jumlah Penguncian Ekstranet melebihi ambang batas, per hari. Nilai defaultnya adalah 100.
(U/P + Penguncian Ekstranet Buruk) / Jam Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Kata Sandi Buruk ditambah jumlah Penguncian Ekstranet melebihi ambang batas, per jam. Nilai defaultnya adalah 50.
Penguncian Ekstranet / Hari Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Penguncian Ekstranet melebihi ambang batas, per hari. Nilai defaultnya adalah 50.
Penguncian Ekstranet / Jam Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Penguncian Ekstranet melebihi ambang batas, per jam. Nilai defaultnya adalah 25.

Nota

  • Perubahan ambang batas laporan akan diterapkan satu jam setelah pengaturan berubah.
  • Item yang dilaporkan yang ada tidak akan terpengaruh oleh perubahan ambang batas.
  • Kami menyarankan agar Anda menganalisis jumlah peristiwa yang dilaporkan dalam lingkungan Anda dan menyesuaikan ambang batas dengan tepat.

FAQ

Mengapa saya melihat rentang alamat IP privat dalam laporan?

Alamat IP privat (10.x.x.x, 172.x.x.x dan 192.168.x.x) dan alamat IP Exchange difilter dan ditandai sebagai True dalam daftar yang disetujui IP. Jika Anda melihat rentang alamat IP privat, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi.

Mengapa saya melihat alamat IP load balancer dalam laporan?

Jika Anda melihat alamat IP load balancer, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi. Konfigurasikan load balancer Anda dengan benar untuk meneruskan alamat IP klien.

Bagaimana cara memblokir alamat IP?

Anda harus menambahkan alamat IP berbahaya yang diidentifikasi ke firewall atau memblokirnya di Exchange.

Mengapa saya tidak dapat melihat item apa pun dalam laporan ini?

  • Aktivitas masuk yang gagal tidak melebihi pengaturan ambang batas.
  • Pastikan bahwa tidak ada pemberitahuan "Layanan kesehatan tidak diperbarui" yang aktif di daftar server Layanan Federasi Direktori Aktif Anda. Baca selengkapnya tentang cara memecahkan masalah pemberitahuan ini.
  • Audit tidak diaktifkan di farm Layanan Federasi Direktori Aktif.

Mengapa saya tidak dapat mengakses laporan?

Anda harus memiliki izin Pembaca Keamanan.

Langkah berikutnya