Share via

Het riskante IP-rapport

  • Artikel

Ad FS-klanten (Active Directory Federation Services) kunnen eindpunten voor wachtwoordverificatie beschikbaar maken op internet om eindgebruikers verificatieservices te bieden voor toegang tot SaaS-toepassingen zoals Microsoft 365.

Het is mogelijk dat een slechte actor aanmeldingen probeert uit te voeren op uw AD FS-systeem om het wachtwoord van een eindgebruiker te raden en toegang te krijgen tot toepassingsbronnen. Vanaf Windows Server 2012 R2 biedt AD FS de vergrendelingsfunctionaliteit van het extranetaccount om deze typen aanvallen te voorkomen. Als u een eerdere versie gebruikt, raden we u ten zeerste aan uw AD FS-systeem bij te werken naar Windows Server 2016.

Daarnaast is het mogelijk dat één IP-adres meerdere aanmeldingen probeert uit te voeren voor meerdere gebruikers. In deze gevallen kan het aantal pogingen per gebruiker onder de drempelwaarde voor accountvergrendelingsbeveiliging in AD FS.

Microsoft Entra Connect Health biedt nu het riskante IP-rapport, waarmee deze voorwaarde wordt gedetecteerd en beheerders wordt geïnformeerd. Dit zijn de belangrijkste voordelen van het gebruik van dit rapport:

  • Detecteert IP-adressen die een drempelwaarde overschrijden voor mislukte aanmeldingen op basis van een wachtwoord
  • Ondersteunt mislukte aanmeldingen als gevolg van een ongeldig wachtwoord of de vergrendelingsstatus van het extranet
  • Biedt e-mailmeldingen aan waarschuwingsbeheerders, met aanpasbare e-mailinstellingen
  • Biedt aanpasbare drempelwaarde-instellingen die overeenkomen met het beveiligingsbeleid van een organisatie
  • Biedt downloadbare rapporten voor offlineanalyse en integratie met andere systemen via automatisering

Notitie

Als u dit rapport wilt gebruiken, moet u ervoor zorgen dat AD FS-controle is ingeschakeld. Zie Controle inschakelen voor AD FS voor meer informatie.

Voor toegang tot deze preview-versie hebt u beveiligingslezermachtigingen nodig.  

Wat staat er in het rapport?

De IP-adressen van de mislukte aanmeldingsactiviteitsclient worden samengevoegd via web-toepassingsproxy-servers. Elk item in het riskante IP-rapport bevat geaggregeerde informatie over mislukte AD FS-aanmeldingsactiviteiten die de aangewezen drempelwaarde hebben overschreden.

Het rapport bevat de volgende informatie:

Schermopname van een riskant IP-rapport met kolomkoppen gemarkeerd.

Rapportitem Beschrijving
Tijdstempel Het tijdstempel dat is gebaseerd op het lokale tijdstip van het Microsoft Entra-beheercentrum wanneer het detectietijdvenster wordt gestart.
Alle dagelijkse gebeurtenissen worden om middernacht UTC gegenereerd.
Gebeurtenissen per uur hebben het tijdstempel afgerond tot het begin van het uur. U vindt de begintijd van de eerste activiteit vanuit firstAuditTimestamp in het geëxporteerde bestand.
Triggertype Het type detectietijdvenster. De typen aggregatietriggers zijn per uur of per dag. Ze zijn handig bij het onderscheiden tussen een beveiligingsaanval met hoge frequentie en een langzame aanval, waarbij het aantal pogingen gedurende de dag wordt verdeeld.
IP-adres Het enkele riskante IP-adres met een ongeldig wachtwoord of een extranetvergrendelingsactiviteiten. Dit kan een IPv4- of een IPv6-adres zijn.
Aantal ongeldige wachtwoordfouten Het aantal ongeldige wachtwoordfouten dat optreedt vanaf het IP-adres tijdens het detectietijdvenster. Fouten met slechte wachtwoorden kunnen meerdere keren optreden voor bepaalde gebruikers. Opmerking: dit aantal bevat geen mislukte pogingen die het gevolg zijn van verlopen wachtwoorden.
Aantal extranetvergrendelingsfouten Het aantal extranetvergrendelingsfouten die optreden vanaf het IP-adres tijdens het detectietijdvenster. De vergrendelingsfouten van het extranet kunnen meerdere keren optreden voor bepaalde gebruikers. Dit aantal wordt alleen weergegeven als extranetvergrendeling is geconfigureerd in AD FS (versies 2012R2 en hoger). Opmerking: We raden u ten zeerste aan deze functie in te schakelen als u extranetaanmeldgegevens toestaat die gebruikmaken van wachtwoorden.
Unieke gebruikers geprobeerd Het aantal unieke gebruikersaccounts dat wordt geprobeerd vanaf het IP-adres tijdens het detectietijdvenster. Maakt onderscheid tussen een aanvalspatroon van één gebruiker en een aanvalspatroon voor meerdere gebruikers.

Het volgende rapportitem geeft bijvoorbeeld aan dat het IP-adres 104.2XX.2XX.2XX.9 op 28 februari 2018 geen slechte wachtwoordfouten en 284 extranetvergrendelingsfouten had. Veertien unieke gebruikers werden beïnvloed binnen de criteria. De activiteitsgebeurtenis heeft de drempelwaarde per uur van het aangewezen rapport overschreden.

Schermopname van een voorbeeld van een riskante IP-rapportvermelding.

Notitie

  • Alleen activiteiten die de aangewezen drempelwaarde overschrijden, worden weergegeven in de lijst met rapporten.
  • In dit rapport worden de afgelopen 30 dagen maximaal bijgehouden.
  • In dit waarschuwingsrapport worden geen Exchange-IP-adressen of privé-IP-adressen weergegeven. Ze zijn nog steeds opgenomen in de exportlijst.

Schermopname van het riskante IP-rapport met de knoppen Download, Meldingsinstellingen en Drempelwaarde-instellingen gemarkeerd.

IP-adressen van load balancer in de lijst

De statistische load balancer is mogelijk mislukt, waardoor deze de waarschuwingsdrempel bereikt. Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer uw load balancer correct om het IP-adres van de client door te geven.

Het riskante IP-rapport downloaden

Met behulp van de downloadfunctionaliteit kan de hele lijst met riskante IP-adressen in de afgelopen 30 dagen worden geëxporteerd vanuit de Connect Health-portal. Het exportresultaat bevat alle mislukte AD FS-aanmeldingsactiviteiten in elk tijdvenster voor detectie, zodat u de filtering na de export kunt aanpassen. Naast de gemarkeerde aggregaties in de portal toont het exportresultaat ook meer informatie over mislukte aanmeldingsactiviteiten per IP-adres:

Rapportitem Beschrijving
firstAuditTimestamp Het eerste tijdstempel waarop de mislukte activiteiten zijn gestart tijdens het detectietijdvenster.
lastAuditTimestamp Het laatste tijdstempel waarop de mislukte activiteiten zijn beëindigd tijdens het detectietijdvenster.
attemptCountThresholdIsExceeded De vlag als de huidige activiteiten de drempelwaarde voor waarschuwingen overschrijden.
isWhitelistedIpAddress De vlag als het IP-adres wordt gefilterd op basis van waarschuwingen en rapportage. Privé-IP-adressen (10.x.x.x, 172.x.x.x en 192.168.x.x) en Exchange-IP-adressen worden gefilterd en gemarkeerd als Waar. Als u privé-IP-adresbereiken ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server.

Instellingen voor meldingen configureren

U kunt de beheerderscontactpersonen van het rapport bijwerken via de meldingsinstellingen. Standaard heeft de waarschuwingsmelding over riskante IP-waarschuwingen een status uitgeschakeld . U kunt de melding inschakelen door de knop onder E-mailmeldingen ontvangen in te schakelen voor IP-adressen die de drempelwaarde voor mislukte activiteiten overschrijden.

Net als algemene instellingen voor waarschuwingsmeldingen in Connect Health kunt u de lijst met aangewezen geadresseerden voor meldingen aanpassen over het riskante IP-rapport van hieruit. U kunt ook alle beheerders van hybride identiteiten op de hoogte stellen terwijl u de wijziging aanbrengt.

Drempelwaarde-instellingen configureren

U kunt de drempelwaarde voor waarschuwingen bijwerken in Drempelwaarde-instellingen. De systeemdrempel wordt ingesteld met standaardwaarden, die worden weergegeven in de volgende schermopname en worden beschreven in de tabel.

De drempelwaarde-instellingen voor risico-IP-rapporten worden onderverdeeld in vier categorieën.

Schermopname van de Microsoft Entra Connect Health-portal waarin de vier categorieën drempelwaarden en hun standaardwaarden worden weergegeven.

Drempelwaarde-instelling Beschrijving
(Bad U/P + Extranet Lockout) / Dag Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per dag. De standaardwaarde is 100.
(Slechte U/P + extranetvergrendeling) / uur Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal ongeldige wachtwoorden plus het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per uur. De standaardwaarde is 50.
Extranetvergrendeling per dag Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal extranetvergrendelingen de drempelwaarde per dag overschrijdt. De standaardwaarde is 50.
Extranetvergrendeling per uur Rapporteert de activiteit en activeert een waarschuwingsmelding wanneer het aantal extranetvergrendelingen de drempelwaarde overschrijdt, per uur. De standaardwaarde is 25.

Notitie

  • De wijziging van de rapportdrempel wordt een uur na de instellingswijziging toegepast.
  • Bestaande gerapporteerde items worden niet beïnvloed door de drempelwaardewijziging.
  • U wordt aangeraden het aantal gebeurtenissen dat in uw omgeving is gerapporteerd te analyseren en de drempelwaarde op de juiste manier aan te passen.

FAQ

Waarom zie ik privé-IP-adresbereiken in het rapport?

Privé-IP-adressen (10.x.x.x, 172.x.x.x en 192.168.x.x) en Exchange-IP-adressen worden gefilterd en gemarkeerd als Waar in de lijst met goedgekeurde IP-adressen. Als u privé-IP-adresbereiken ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server.

Waarom zie ik IP-adressen van de load balancer in het rapport?

Als u IP-adressen van de load balancer ziet, is het zeer waarschijnlijk dat uw externe load balancer het IP-adres van de client niet verzendt wanneer de aanvraag wordt doorgegeven aan de web-toepassingsproxy-server. Configureer uw load balancer correct om het IP-adres van de client door te geven.

Hoe kan ik het IP-adres blokkeren?

U moet het geïdentificeerde schadelijke IP-adres toevoegen aan de firewall of het adres blokkeren in Exchange.

Waarom zie ik geen items in dit rapport?

  • Mislukte aanmeldingsactiviteiten overschrijden de drempelwaarde-instellingen niet.
  • Zorg ervoor dat er geen waarschuwing 'Health-service is niet up-to-date' actief is in uw AD FS-serverlijst. Lees meer over het oplossen van problemen met deze waarschuwing.
  • Controles zijn niet ingeschakeld in AD FS-farms.

Waarom heb ik geen toegang tot het rapport?

U moet beschikken over beveiligingslezermachtigingen .

Volgende stappen