Bagikan melalui

Laporan IP Berisiko

Pelanggan Layanan Federasi Direktori Aktif (AD FS) dapat mengekspos titik akhir autentikasi kata sandi ke internet untuk menyediakan layanan autentikasi bagi pengguna akhir untuk mengakses aplikasi SaaS seperti Microsoft 365.

Dimungkinkan bagi peretas untuk mencoba masuk ke sistem AD FS Anda untuk mencoba menebak kata sandi pengguna akhir dan mendapatkan akses ke sumber daya aplikasi. Sejak Windows Server 2012 R2, AD FS menyediakan fungsi penguncian akun ekstranet untuk mencegah jenis serangan ini. Jika Anda menggunakan versi yang lebih lama, kami sangat menyarankan agar Anda meningkatkan sistem AD FS Anda ke Windows Server 2016.

Selain itu, dimungkinkan bagi satu alamat IP untuk mencoba masuk ke beberapa akun pengguna. Dalam kasus ini, jumlah upaya per pengguna mungkin berada di bawah ambang batas untuk perlindungan penguncian akun di AD FS.

Microsoft Entra Connect Health sekarang menyediakan laporan IP Berisiko, yang mendeteksi kondisi ini dan memberi tahu administrator. Berikut adalah manfaat utama menggunakan laporan ini:

  • Mendeteksi alamat IP yang melebihi ambang batas login berbasis kata sandi yang gagal
  • Mendukung proses masuk yang gagal yang dihasilkan dari kata sandi yang buruk atau status penguncian ekstranet
  • Menyediakan pemberitahuan email kepada administrator pemberitahuan, dengan pengaturan email yang dapat disesuaikan
  • Menyediakan pengaturan ambang batas yang dapat disesuaikan yang sesuai dengan kebijakan keamanan organisasi
  • Menyediakan laporan yang dapat diunduh untuk analisis offline dan integrasi dengan sistem lain melalui otomatisasi

Catatan

Untuk menggunakan laporan ini, Anda harus memastikan bahwa audit AD FS diaktifkan. Untuk informasi selengkapnya, lihat Mengaktifkan audit untuk Layanan Federasi Direktori Aktif (AD FS).

Untuk mengakses rilis pratinjau ini, Anda memerlukan izin Pembaca Keamanan.  

Apa yang ada dalam laporan?

Alamat IP klien dari aktivitas masuk yang gagal dikumpulkan melalui server Proxy Aplikasi Web. Setiap item dalam laporan IP Berisiko menunjukkan informasi yang teragregasi tentang aktivitas masuk AD FS yang gagal yang telah melebihi ambang batas yang ditentukan.

Laporan ini memberikan informasi berikut:

Cuplikan layar yang memperlihatkan laporan IP Berisiko dengan judul kolom disorot.

Item laporan Deskripsi
Tanda Waktu Penanda waktu yang didasarkan pada waktu lokal Microsoft Entra admin center, saat jendela waktu deteksi dimulai.
Semua peristiwa harian dihasilkan pada tengah malam waktu UTC.
Peristiwa per jam memiliki stempel waktu yang dibulatkan pada awal jam. Anda dapat menemukan waktu mulai aktivitas pertama dari "firstAuditTimestamp" dalam file yang diekspor.
Jenis Pemicu Jenis jendela waktu deteksi. Jenis pemicu agregasi adalah per jam atau per hari. Ini membantu membedakan antara serangan brute force yang berfrekuensi tinggi dan serangan lambat, di mana jumlah upaya didistribusikan sepanjang hari.
Alamat IP Alamat IP berisiko tunggal yang memiliki kata sandi yang lemah atau aktivitas penguncian masuk ekstranet. Ini bisa berupa alamat IPv4 atau IPv6.
Jumlah Kesalahan Kata Sandi Buruk Jumlah kesalahan kata sandi buruk yang terjadi dari alamat IP selama jendela waktu deteksi. Kesalahan kata sandi yang buruk dapat terjadi beberapa kali pada pengguna tertentu. Catatan: Jumlah ini tidak menyertakan upaya yang gagal yang dihasilkan dari kata sandi yang kedaluwarsa.
Jumlah Kesalahan Penguncian Akses Ekstranet Jumlah kesalahan penguncian ekstranet yang terjadi dari alamat IP selama jendela waktu deteksi. Kesalahan penguncian ekstranet dapat terjadi beberapa kali bagi pengguna tertentu. Jumlah ini hanya ditampilkan jika Penguncian Ekstranet dikonfigurasi di Layanan Federasi Direktori Aktif (AD FS) versi 2012R2 dan versi lebih baru. Catatan: Kami sangat menyarankan untuk mengaktifkan fitur ini jika Anda mengizinkan login ekstranet yang menggunakan kata sandi.
Percobaan Pengguna Unik Jumlah akun pengguna unik yang dicoba dari alamat IP selama jendela waktu deteksi. Membedakan antara pola serangan pengguna tunggal dan pola serangan multi-pengguna.

Misalnya, item laporan berikut menunjukkan bahwa selama jendela 18.00 hingga 19.00 pada 28 Februari 2018, alamat IP 104.2XX.2XX.9 tidak memiliki kesalahan kata sandi yang buruk dan kesalahan penguncian ekstranet 284. Empat belas pengguna unik terpengaruh sesuai dengan kriteria. Peristiwa aktivitas melebihi ambang batas waktu per jam yang ditetapkan dalam laporan.

Cuplikan layar yang menampilkan contoh entri laporan IP Berisiko.

Catatan

  • Hanya aktivitas yang melebihi ambang batas yang ditunjuk yang ditampilkan dalam daftar laporan.
  • Laporan ini mencakup maksimal 30 hari terakhir.
  • Laporan pemberitahuan ini tidak menampilkan alamat IP Exchange atau alamat IP privat. Mereka masih termasuk dalam daftar ekspor.

Cuplikan layar yang memperlihatkan laporan IP Berisiko dengan tombol Unduh, Pengaturan Pemberitahuan, dan Pengaturan Ambang Disorot.

Alamat IP load balancer dalam daftar

Agregat load balancer Anda mungkin gagal, menyebabkan mencapai ambang batas peringatan. Jika Anda melihat alamat IP load balancer, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Proksi Aplikasi Web. Konfigurasikan load balancer Anda dengan benar untuk meneruskan alamat IP klien.

Unduh laporan IP Riskan

Menggunakan fungsionalitas Unduh, seluruh daftar alamat IP berisiko dalam 30 hari terakhir dapat diekspor dari Portal Connect Health. Hasil ekspor akan mencakup semua aktivitas masuk AD FS yang gagal dalam setiap rentang waktu deteksi, sehingga Anda dapat menyesuaikan penyaringan setelah ekspor. Selain agregasi yang disorot di portal, hasil ekspor juga menunjukkan detail selengkapnya tentang aktivitas masuk yang gagal per alamat IP:

Item Laporan Deskripsi
Cap Waktu Audit Pertama Cap waktu pertama ketika aktivitas gagal mulai dalam jendela waktu deteksi.
waktu cap audit terakhir Stempel waktu terakhir aktivitas gagal yang berakhir selama jendela waktu deteksi.
thresholdJumlahPercobaanTerlampaui Bendera jika aktivitas saat ini melebihi batas pemberitahuan.
adalahAlamatIpYangDiizinkan Tanda jika alamat IP disaring dari pemberitahuan dan pelaporan. Alamat IP privat (10.x.x.x, 172.x.x.x dan 192.168.x.x) dan alamat IP Exchange difilter dan ditandai sebagai True. Jika Anda melihat rentang alamat IP privat, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi.

Mengonfigurasi pengaturan pemberitahuan

Anda dapat memperbarui kontak administrator laporan melalui Pengaturan Pemberitahuan. Secara default, pemberitahuan email pemberitahuan IP berisiko dalam status nonaktif . Anda dapat mengaktifkan pemberitahuan dengan mengaktifkan tombol di bawah Dapatkan pemberitahuan email untuk alamat IP yang melebihi ambang aktivitas gagal dalam laporan.

Seperti pengaturan pemberitahuan pemberitahuan generik di Connect Health, ini memungkinkan Anda untuk menyesuaikan daftar penerima pemberitahuan yang ditunjuk tentang laporan IP Berisiko dari sini. Anda juga dapat memberi tahu semua Administrator Identitas Hibrid saat melakukan perubahan.

Mengonfigurasi pengaturan batas

Anda dapat memperbarui ambang batas peringatan di Pengaturan Ambang Batas. Ambang sistem diatur dengan nilai default, yang diperlihatkan dalam cuplikan layar berikut dan dijelaskan dalam tabel.

Pengaturan ambang batas laporan IP risiko dipisahkan menjadi empat kategori.

Cuplikan layar Portal Microsoft Entra Connect Health yang memperlihatkan empat kategori pengaturan ambang batas dan nilai defaultnya.

Pengaturan ambang batas Deskripsi
(U/P Buruk + Penguncian Ekstranet) / Hari Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Kata Sandi Buruk ditambah jumlah Penguncian Ekstranet melebihi ambang batas, per hari. Nilai default adalah 100.
(Nama Pengguna/Kata Sandi Buruk + Penguncian Ekstranet) per Jam Melaporkan aktivitas dan memicu pemberitahuan pemberitahuan saat jumlah Kata Sandi Buruk ditambah jumlah Penguncian Ekstranet melebihi ambang batas, per jam. Nilai defaultnya adalah 50.
Penguncian Extranet / Hari Terjadinya Melaporkan aktivitas dan memicu pemberitahuan saat jumlah Penguncian Ekstranet melebihi ambang batas, per hari. Nilai defaultnya adalah 50.
Penguncian Extranet/Jam Melaporkan aktivitas dan memicu pemberitahuan ketika jumlah Penguncian Ekstranet melampaui ambang batas, per jam. Nilai defaultnya adalah 25.

Catatan

  • Perubahan ambang batas laporan akan diterapkan satu jam setelah pengaturan berubah.
  • Item yang dilaporkan yang ada tidak akan terpengaruh oleh perubahan batas.
  • Kami menyarankan agar Anda menganalisis jumlah peristiwa yang dilaporkan dalam lingkungan Anda dan menyesuaikan ambang batas dengan tepat.

FAQ

Mengapa saya melihat rentang alamat IP privat dalam laporan?

Alamat IP privat (10.x.x.x, 172.x.x.x dan 192.168.x.x) dan alamat IP Exchange difilter dan ditandai sebagai True dalam daftar yang disetujui IP. Jika Anda melihat rentang alamat IP privat, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Web Proksi Aplikasi.

Mengapa saya melihat alamat IP load balancer di dalam laporan?

Jika Anda melihat alamat IP load balancer, kemungkinan besar load balancer eksternal Anda tidak mengirim alamat IP klien saat meneruskan permintaan ke server Proksi Aplikasi Web. Konfigurasikan load balancer Anda dengan benar untuk meneruskan alamat IP klien.

Bagaimana cara memblokir alamat IP?

Anda harus menambahkan alamat IP berbahaya yang diidentifikasi ke firewall atau memblokirnya di Exchange.

Mengapa saya tidak dapat melihat item apa pun dalam laporan ini?

  • Aktivitas masuk yang gagal tidak melebihi pengaturan ambang batas.
  • Pastikan bahwa tidak ada pemberitahuan "Layanan status tidak diperbarui" yang aktif di daftar server AD FS Anda. Baca selengkapnya tentang cara memecahkan masalah pemberitahuan ini.
  • Audit tidak dijalankan di farm AD FS.

Mengapa saya tidak dapat mengakses laporan?

Anda harus memiliki izin Pembaca Keamanan.

Langkah berikutnya