危険な IP のレポート (パブリック プレビュー)

AD FS のお客様は、エンド ユーザーが Microsoft 365 などの SaaS アプリケーションにアクセスするための認証サービスを提供する目的で、パスワード認証エンドポイントをインターネットに公開する場合があります。 悪意のあるアクターが AD FS システムへのログインを試みて、エンド ユーザーのパスワードを推測し、アプリケーションのリソースにアクセスする可能性があります。 Windows Server 2012 R2 の AD FS 以降、これらの種類の攻撃を防止するためのエクストラネット アカウント ロックアウト機能が用意されています。 これよりも古いバージョンを使用している場合は、AD FS システムを Windows Server 2016 にアップグレードすることを強くお勧めします。

さらに、単一の IP アドレスから複数のユーザーに対してログイン試行が複数回実行される可能性もあります。 このような場合、ユーザーあたりの試行回数が AD FS のアカウント ロックアウト保護のしきい値に達しない可能性があります。 Azure AD Connect Health では、この状態を検出し、管理者に通知する "危険な IP のレポート" が提供されるようになりました。 このレポートの主要な利点を次に示します。

  • 失敗したパスワードベースのログインのしきい値を超える IP アドレスの検出
  • パスワードの間違いまたはエクストラネットのロックアウト状態が原因で失敗したログインのサポート
  • 管理者に電子メールで通知する機能。電子メール設定をカスタマイズ可能
  • 組織のセキュリティ ポリシーに適合するカスタマイズ可能なしきい値設定
  • オフライン分析用にダウンロード可能なレポートと、他のシステムとの自動での統合

注意

このレポートを使用するには、AD FS 監査が有効になっている必要があります。 詳細については、「 AD FS の監査の有効化」を参照してください。
プレビューにアクセスするには、全体管理者またはセキュリティ閲覧者のアクセス許可が必要です。  

レポートの内容

失敗したサインイン アクティビティのクライアント IP アドレスは、Web アプリケーション プロキシ サーバーを介して集計されます。 危険な IP のレポートの各項目は、指定されたしきい値を超える、失敗した AD FS サインイン アクティビティに関する集計情報を示しています。 次の情報が提供されます。列ヘッダーが強調表示されている危険な IP のレポートを示すスクリーンショット。

レポート アイテム 説明
タイム スタンプ Azure Portal の現地時間に基づく、検出時間枠の開始時のタイム スタンプを表示します。
日単位のイベントは、すべて UTC の午前 0 時に生成されます。
時間単位のイベントのタイムスタンプは、毎時 0 分の値に丸められます。 エクスポートされたファイルの "firstAuditTimestamp" から、最初のアクティビティの開始時刻を見つけることができます。
トリガーの種類 検出時間枠の種類を示します。 集計トリガーの種類は、"1 時間あたり" または "1 日あたり" です。 高頻度のブルート フォース攻撃と、試行回数が 1 日の中で分散している低速の攻撃を判別するのに役立ちます。
IP アドレス 間違ったパスワードまたはエクストラネット ロックアウト サインイン アクティビティが発生した単一の危険な IP アドレス。 IPv4 アドレスまたは IPv6 アドレスのどちらでもかまいません。
間違ったパスワードのエラー回数 検出時間枠の間に特定の IP アドレスで発生した、間違ったパスワード エラーの数。 間違ったパスワード エラーは、特定のユーザーで複数回発生する可能性があります。 これには期限切れのパスワードが原因で失敗した試行は含まれないことに注意してください。
エクストラネットのロックアウトのエラー回数 検出時間枠の間に特定の IP アドレスで発生したエクストラネットのロックアウト エラーの数。 エクストラネットのロックアウト エラーは、特定のユーザーで複数回発生する可能性があります。 これは、エクストラネットのロックアウトが AD FS (バージョン 2012R2 以降) で構成されている場合にのみ表示されます。 パスワードを使用したエクストラネット ログインを許可する場合は、この機能を有効にすることを強くお勧めします。
試行した一意のユーザー 検出時間枠の間に特定の IP アドレスでログインを試行した、一意のユーザー アカウントの数。 単一ユーザーの攻撃パターンと複数ユーザーの攻撃パターンが区別されます。

たとえば、次のレポート アイテムは、2018 年 2 月 28 日の午後 6 時から午後 7 時までの時間枠において、IP アドレス 104.2XX.2XX.9 で、間違ったパスワード エラーが発生していない一方、エクストラネットのロックアウト エラーが 284 回発生したことを示しています。 この条件内で影響を受けた一意のユーザーは 14 人でした。 このアクティビティ イベントは、指定されたレポートの時間単位のしきい値を超えています。

危険な IP のレポートのエントリ例を示すスクリーンショット。

注意

  • 指定されたしきい値を超えるアクティビティのみがレポートの一覧に表示されます。
  • このレポートは、最大で 30 日前まで追跡できます。
  • このアラート レポートには、Exchange IP アドレスまたはプライベート IP アドレスは表示されません。 ただし、エクスポートした一覧にはこれらのアドレスが含まれます。

[ダウンロード]、[通知の設定]、[しきい値の設定] が強調表示されている危険な IP のレポートを示すスクリーンショット。

一覧のロード バランサーの IP アドレス

ロード バランサーが失敗したサインイン アクティビティを集計し、アラートのしきい値に達しました。 ロード バランサーの IP アドレスが表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。 転送クライアント IP アドレスを渡すようにロード バランサーを適切に構成してください。

危険な IP のレポートのダウンロード

ダウンロード機能を使用すると、過去 30 日間の危険な IP アドレスの一覧全体を Connect Health Portal からエクスポートできます。エクスポート結果には各検出時間枠の間に失敗したすべての AD FS サインイン アクティビティが含まれるため、エクスポート後にフィルター処理をカスタマイズすることができます。 エクスポート結果には、ポータルの強調表示された集計のほかに、失敗したサインイン アクティビティの詳細が IP アドレスごとに示されます。

レポート アイテム 説明
firstAuditTimestamp 検出時間枠中に失敗したアクティビティがいつ開始されたかを示す、最初のタイムスタンプを表示します。
lastAuditTimestamp 検出時間枠中に失敗したアクティビティがいつ終了したかを示す、最初のタイムスタンプを表示します。
attemptCountThresholdIsExceeded 現在のアクティビティがアラートしきい値を超えているかどうかを示すフラグ。
isWhitelistedIpAddress IP アドレスがアラートおよびレポート用にフィルター処理されているかどうかを示すフラグ。 プライベート IP アドレス (10.x.x.x、172.x.x.x、192.168.x.x) と Exchange IP アドレスはフィルター処理され、True とマークされます。 プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。

通知設定の構成

レポートの管理者連絡先は、 [通知設定] で更新できます。 既定では、危険な IP アラートの電子メール通知はオフの状態になっています。 通知を有効にするには、[アクティビティ失敗のしきい値を超えている IP アドレスのレポートの通知を電子メールで受け取ります] の下にあるボタンを切り替えます。Connect Health の一般的なアラート通知設定と同様に、危険な IP のレポートに関する指定の通知受信者の一覧をここからカスタマイズできます。 変更を加えると同時に、すべてのハイブリッド ID 管理者に通知することもできます。

しきい値設定の構成

アラートのしきい値は、[しきい値の設定] で更新できます。 まず、システムには既定でしきい値が設定されています。 既定値を次に示します。 危険な IP のレポートのしきい値設定には、4 つのカテゴリがあります。

Azure AD Connect Health ポータル

しきい値の項目 説明
(不良 U/P + エクストラネットのロックアウト) / 日 "間違ったパスワードの試行回数 + エクストラネットのロックアウトの回数" が 1 日のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。 既定値は 100 です。
(不良 U/P + エクストラネットのロックアウト) / 時間 "間違ったパスワードの試行回数 + エクストラネットのロックアウトの回数" が 1 時間のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。 既定値は 50 です。
エクストラネットのロックアウト / 日 エクストラネットのロックアウトの回数が 1 日のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。 既定値は 50 です。
エクストラネットのロックアウト / 時間 エクストラネットのロックアウトの回数が 1 時間のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。 既定値は 25 です。

注意

  • レポートのしきい値の変更は、設定が変更された 1 時間後に適用されます。
  • 既にレポートされている項目は、しきい値の変更の影響を受けません。
  • ご自分の環境内で見られるイベントの数を分析したうえで、しきい値を適切に調整することをお勧めします。

よく寄せられる質問

レポートにプライベート IP アドレス範囲が表示されるのはなぜですか?
プライベート IP アドレス (10.x.x.x、172.x.x.x、192.168.x.x) と Exchange IP アドレスはフィルター処理され、IP 承認済みリスト内で True とマークされます。 プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。

レポートにロード バランサーの IP アドレスが表示されるのはなぜですか?
ロード バランサーの IP アドレスが表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。 転送クライアント IP アドレスを渡すようにロード バランサーを適切に構成してください。

IP アドレスをブロックするにはどうすればよいですか?
特定した悪意のある IP アドレスをファイアウォールまたは Exchange のブロックに追加する必要があります。

このレポートに項目が何も表示されないのはなぜですか?

  • 失敗したサインイン アクティビティがしきい値の設定を超えていません。
  • AD FS サーバー リストで "Health Service が最新ではありません" アラートがアクティブになっていないことを確認します。 このアラートのトラブルシューティングを行う方法を確認してください。
  • AD FS ファームで監査が有効になっていません。

レポートにアクセスできないのはなぜですか?
全体管理者またはセキュリティ閲覧者のアクセス許可が必要です。 アクセスするには、グローバル管理者に連絡してください。

次のステップ