Het riskante IP-rapport

  • Artikel

Ad FS-klanten (Active Directory Federation Services) kunnen eindpunten voor wachtwoordverificatie beschikbaar maken op internet om eindgebruikers verificatieservices te bieden voor toegang tot SaaS-toepassingen zoals Microsoft 365.

Het is mogelijk dat een slechte actor aanmeldingen probeert uit te voeren op uw AD FS-systeem om het wachtwoord van een eindgebruiker te raden en toegang te krijgen tot toepassingsbronnen. Vanaf Windows Server 2012 R2 biedt AD FS de vergrendelingsfunctionaliteit van het extranetaccount om deze typen aanvallen te voorkomen. Als u een eerdere versie gebruikt, raden we u ten zeerste aan uw AD FS-systeem bij te werken naar Windows Server 2016.

Daarnaast is het mogelijk dat één IP-adres meerdere aanmeldingen probeert uit te voeren voor meerdere gebruikers. In deze gevallen kan het aantal pogingen per gebruiker onder de drempelwaarde voor accountvergrendelingsbeveiliging in AD FS.

Microsoft Entra Verbinding maken Health biedt nu het riskante IP-rapport, waarmee deze voorwaarde wordt gedetecteerd en beheerders wordt geïnformeerd. Dit zijn de belangrijkste voordelen van het gebruik van dit rapport:

  • Detecteert IP-adressen die een drempelwaarde overschrijden voor mislukte aanmeldingen op basis van een wachtwoord
  • Ondersteunt mislukte aanmeldingen als gevolg van een ongeldig wachtwoord of de vergrendelingsstatus van het extranet
  • Biedt e-mailmeldingen aan waarschuwingsbeheerders, met aanpasbare e-mailinstellingen
  • Biedt aanpasbare drempelwaarde-instellingen die overeenkomen met het beveiligingsbeleid van een organisatie
  • Biedt downloadbare rapporten voor offlineanalyse en integratie met andere systemen via automatisering

Notitie

Om dit rapport te gebruiken, moet u controles voor AD FS hebben ingeschakeld. Zie Controle inschakelen voor AD FS voor meer informatie.

Voor toegang tot deze preview-versie hebt u algemene machtigingen voor Beheer istrator of beveiligingslezer nodig.  

Wat staat er in het rapport?

De IP-adressen van de mislukte aanmeldingsactiviteitsclient worden samengevoegd via web-toepassingsproxy-servers. Elk item in het riskante IP-rapport bevat geaggregeerde informatie over mislukte AD FS-aanmeldingsactiviteiten die de aangewezen drempelwaarde hebben overschreden.

Dit rapport bevat de volgende informatie:

Schermopname van een riskant IP-rapport met kolomkoppen gemarkeerd.

Rapportitem Beschrijving
Tijdstempel Het tijdstempel dat is gebaseerd op het lokale tijdstip van het Microsoft Entra-beheercentrum wanneer het detectietijdvenster wordt gestart.
Alle dagelijkse gebeurtenissen worden om middernacht UTC gegenereerd.
Gebeurtenissen per uur hebben het tijdstempel afgerond tot het begin van het uur. U vindt de begintijd van de eerste activiteit vanuit firstAuditTimestamp in het geëxporteerde bestand.
Triggertype Het type detectietijdvenster. De triggertypen voor aggregatie zijn per uur of per dag. Ze zijn handig bij het onderscheiden tussen een beveiligingsaanval met hoge frequentie en een langzame aanval, waarbij het aantal pogingen gedurende de dag wordt verdeeld.
IP-adres Het specifieke riskante IP-adres voor activiteiten met betrekking tot onjuiste wachtwoorden of extranetvergrendeling. Dit kan een IPv4- of een IPv6-adres zijn.
Aantal mislukte wachtwoordpogingen Het aantal ongeldige wachtwoordfouten dat optreedt vanaf het IP-adres tijdens het detectietijdvenster. Fouten met slechte wachtwoorden kunnen meerdere keren optreden voor bepaalde gebruikers. Opmerking: dit aantal bevat geen mislukte pogingen die het gevolg zijn van verlopen wachtwoorden.
Aantal extranetvergrendelingsfouten Het aantal extranetvergrendelingsfouten die optreden vanaf het IP-adres tijdens het detectietijdvenster. De vergrendelingsfouten van het extranet kunnen meerdere keren optreden voor bepaalde gebruikers. Dit aantal wordt alleen weergegeven als extranetvergrendeling is geconfigureerd in AD FS (versies 2012R2 en hoger). Opmerking: We raden u ten zeerste aan deze functie in te schakelen als u extranetaanmeldgegevens toestaat die gebruikmaken van wachtwoorden.
Pogingen unieke gebruikersnaam Het aantal unieke gebruikersaccounts dat wordt geprobeerd vanaf het IP-adres tijdens het detectietijdvenster. Maakt onderscheid tussen een aanvalspatroon van één gebruiker en een aanvalspatroon voor meerdere gebruikers.

Het volgende rapportitem geeft bijvoorbeeld aan dat het IP-adres 104.2XX.2XX.2XX.9 op 28 februari 2018 geen slechte wachtwoordfouten en 284 extranetvergrendelingsfouten had. Veertien unieke gebruikers werden beïnvloed binnen de criteria. De activiteitsgebeurtenis heeft de drempelwaarde per uur van het aangewezen rapport overschreden.

Schermopname van een voorbeeld van een rapport over riskante IP-adresvermelding.

Notitie

  • Alleen activiteiten die de aangewezen drempelwaarde overschrijden, worden weergegeven in de lijst met rapporten.
  • In dit rapport worden de afgelopen 30 dagen maximaal bijgehouden.
  • In dit waarschuwingsrapport worden geen Exchange-IP-adressen of privé-IP-adressen weergegeven. Ze worden wel opgenomen in de exportlijst.

Schermopname van het riskante IP-rapport met de knoppen 'Downloaden', 'Melding Instellingen' en 'Drempelwaarde Instellingen' gemarkeerd.

IP-adressen van load balancer in de lijst

De statistische load balancer is mogelijk mislukt, waardoor deze de waarschuwingsdrempel bereikt. Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer uw load balancer correct om het IP-adres van de client door te geven.

Het riskante IP-rapport downloaden

Met behulp van de functie Downloaden kan de volledige lijst met riskante IP-adressen van de afgelopen 30 dagen worden geëxporteerd vanuit de Connect Health-portal. De export bevat alle mislukte AD FS-aanmeldactiviteiten in elke detectieperiode, zodat u de filters na het exporteren kunt aanpassen. De export geeft naast de gemarkeerde aggregaties in de portal ook meer informatie over mislukte aanmeldactiviteiten per IP-adres weer:

Rapportitem Beschrijving
firstAuditTimestamp Het eerste tijdstempel waarop de mislukte activiteiten zijn gestart tijdens het detectietijdvenster.
lastAuditTimestamp Het laatste tijdstempel waarop de mislukte activiteiten zijn beëindigd tijdens het detectietijdvenster.
attemptCountThresholdIsExceeded De markering voor wanneer de huidige activiteiten de drempelwaarde voor waarschuwingen overschrijden.
isWhitelistedIpAddress De markering voor wanneer het IP-adres is uitgesloten voor waarschuwingen en rapporten. Privé-IP-adressen (10.x.x.x, 172.x.x.x en 192.168.x.x) en Exchange-IP-adressen worden gefilterd en gemarkeerd als Waar. Als u privé-IP-adresbereiken ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server.

Meldingsinstellingen configureren

U kunt de contactpersonen van de beheerder van het rapport bijwerken via de meldings-Instellingen. Standaard heeft de waarschuwingsmelding over riskante IP-waarschuwingen een status uitgeschakeld . U kunt de melding inschakelen door de knop onder E-mailmeldingen ontvangen in te schakelen voor IP-adressen die de drempelwaarde voor mislukte activiteiten overschrijden.

Net als algemene instellingen voor waarschuwingsmeldingen in Verbinding maken Status kunt u de lijst met aangewezen geadresseerden voor meldingen aanpassen over het riskante IP-rapport van hieruit. U kunt ook alle beheerders van hybride identiteiten op de hoogte stellen terwijl u de wijziging aanbrengt.

Drempelwaarde-instellingen configureren

U kunt de drempelwaarde voor waarschuwingen bijwerken in drempelwaarden Instellingen. De systeemdrempel wordt ingesteld met standaardwaarden, die worden weergegeven in de volgende schermopname en worden beschreven in de tabel.

De drempelwaarde-instellingen voor risico-IP-rapporten worden onderverdeeld in vier categorieën.

Schermopname van de Microsoft Entra Verbinding maken Health Portal waarin de vier categorieën drempelwaarden en de standaardwaarden worden weergegeven.

Drempelwaarde-instelling Beschrijving
(Slechte U/P + vergrendeling van het extranet) / dag Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per dag. De standaardwaarde is 100.
(Slechte U/P + vergrendeling van het extranet) / uur Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per uur. De standaardwaarde is 50.
Vergrendeling van het extranet / dag Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal extranetvergrendelingen de drempelwaarde per dag overschrijdt. De standaardwaarde is 50.
Vergrendeling van het extranet / uur Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per uur. De standaardwaarde is 25.

Notitie

  • De wijziging van de rapportdrempel wordt een uur na de instellingswijziging toegepast.
  • Bestaande gemelde items worden niet beïnvloed door het wijzigen van de drempelwaarde.
  • U wordt aangeraden het aantal gebeurtenissen dat in uw omgeving is gerapporteerd te analyseren en de drempelwaarde op de juiste manier aan te passen.

Veelgestelde vragen

Waarom zie ik privé-IP-adresbereiken in het rapport?

Privé-IP-adressen (10.x.x.x, 172.x.x.x en 192.168.x.x) en Exchange-IP-adressen worden gefilterd en gemarkeerd als Waar in de lijst met goedgekeurde IP-adressen. Als u privé-IP-adresbereiken ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server.

Waarom zie ik IP-adressen van de load balancer in het rapport?

Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer uw load balancer correct om het IP-adres van de client door te geven.

Hoe kan ik het IP-adres blokkeren?

U moet het geïdentificeerde schadelijke IP-adres toevoegen aan de firewall of het adres blokkeren in Exchange.

Waarom zie ik geen items in dit rapport?

  • Mislukte aanmeldingsactiviteiten overschrijden de drempelwaarde-instellingen niet.
  • Zorg ervoor dat er geen waarschuwing 'Health-service is niet up-to-date' actief is in uw AD FS-serverlijst. Lees meer informatie over het oplossen van deze waarschuwing.
  • Controles zijn niet ingeschakeld in AD FS-farms.

Waarom heb ik geen toegang tot het rapport?

U moet beschikken over de machtigingen Global Beheer istrator of Security Reader. Neem contact op met uw Global Beheer istrator voor toegang.

Volgende stappen