Riskli IP raporu (önizleme)

  • Makale

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) müşterileri, son kullanıcıların Microsoft 365 gibi SaaS uygulamalarına erişmesi için kimlik doğrulama hizmetleri sağlamak üzere parola kimlik doğrulama uç noktalarını İnternet'te kullanıma sunabilir.

Kötü bir aktörün, son kullanıcının parolasını tahmin etmek ve uygulama kaynaklarına erişmek için AD FS sisteminizde oturum açmayı denemesi mümkündür. Windows Server 2012 R2 itibarıyla AD FS, bu tür saldırıları önlemek için extranet hesabı kilitleme işlevselliği sağlar. Önceki bir sürüm kullanıyorsanız, AD FS sisteminizi Windows Server 2016'ya yükseltmenizi kesinlikle öneririz.

Ayrıca, tek bir IP adresinin birden çok kullanıcı için birden çok oturum açmayı denemesi de mümkündür. Böyle durumlarda, kullanıcı başına deneme sayısı AD FS'de hesap kilitleme koruması eşiğinin altında olabilir.

Microsoft Entra Bağlan Health artık bu koşulu algılayan ve yöneticilere bildirimde bulunan Riskli IP raporunu sağlar. Bu raporu kullanmanın başlıca avantajları şunlardır:

  • Başarısız parola tabanlı oturum açma eşiğini aşan IP adreslerini algılar
  • Hatalı parola veya extranet kilitleme durumundan kaynaklanan başarısız oturum açmaları destekler
  • Özelleştirilebilir e-posta ayarlarıyla uyarı yöneticilerine e-posta bildirimleri sağlar
  • Bir kuruluşun güvenlik ilkesiyle eşleşen özelleştirilebilir eşik ayarları sağlar
  • Otomasyon aracılığıyla çevrimdışı analiz ve diğer sistemlerle tümleştirme için indirilebilir raporlar sağlar

Not

Bu raporu kullanmak için AD FS denetiminin etkin olduğundan emin olmanız gerekir. Daha fazla bilgi için bkz . AD FS için denetimi etkinleştirme.

Bu önizleme sürümüne erişmek için Genel Yönetici istrator veya Güvenlik Okuyucusu izinlerine sahip olmanız gerekir.  

Raporda ne var?

Başarısız oturum açma etkinliği istemci IP adresleri Web Uygulama Ara Sunucusu sunucuları aracılığıyla toplanır. Riskli IP raporundaki her öğe, belirlenen eşiği aşan başarısız AD FS oturum açma etkinlikleri hakkında toplu bilgileri gösterir.

Raporda şu bilgiler yer alır:

Screenshot that shows a Risky IP report with column headings highlighted.

Rapor öğesi Açıklama
Zaman Damgası Algılama zamanı penceresi başlatıldığında Microsoft Entra yönetim merkezi yerel saatini temel alan zaman damgası.
Tüm günlük olaylar UTC saatinde gece yarısı oluşturulur.
Saatlik olaylar, saatin başına yuvarlanan zaman damgasına sahiptir. "firstAuditTimestamp" adlı ilk etkinlik başlangıç zamanını dışarı aktarılan dosyada bulabilirsiniz.
Tetikleyici Türü Algılama zaman penceresinin türü. Toplama tetikleyici türleri saat veya gün başınadır. Yüksek frekanslı deneme yanılma saldırısı ile deneme sayısının gün boyunca dağıtıldığı yavaş bir saldırı arasında ayrım yapmaya yardımcı olur.
IP Adresi Hatalı parola veya extranet kilitleme oturum açma etkinlikleri olan tek riskli IP adresi. IPv4 veya IPv6 adresi olabilir.
Hatalı Parola Hata Sayısı Algılama zaman penceresi sırasında IP adresinden oluşan hatalı parola hatalarının sayısı. Hatalı parola hataları belirli kullanıcılara birden çok kez oluşabilir. Not: Bu sayı, süresi dolan parolalardan kaynaklanan başarısız denemeleri içermez.
Extranet Kilitleme Hata Sayısı Algılama zaman penceresi sırasında IP adresinden oluşan extranet kilitleme hatalarının sayısı. Extranet kilitleme hataları belirli kullanıcılara birden çok kez gerçekleşebilir. Bu sayı yalnızca Ad FS'de Extranet Kilitlemesi yapılandırıldığında görüntülenir (sürüm 2012R2 ve üzeri). Not: Parola kullanan extranet oturum açma işlemlerine izin verirseniz bu özelliği etkinleştirmenizi kesinlikle öneririz.
Deneme Yapan Benzersiz Kullanıcı Sayısı Algılama zamanı penceresinde IP adresinden denenen benzersiz kullanıcı hesaplarının sayısı. Tek bir kullanıcı saldırı düzeni ile çok kullanıcılı saldırı deseni arasında ayrımlar.

Örneğin, aşağıdaki rapor öğesi 28 Şubat 2018'de 18:00 ile 19:00 arası penceresinde 104.2XX.2XX.9 IP adresinde hatalı parola hatası olmadığını ve 284 extranet kilitleme hatası olmadığını gösterir. Ölçütler içinde on dört benzersiz kullanıcı etkilendi. Etkinlik olayı, belirlenen raporun saatlik eşiğini aştı.

Screenshot that shows an example of a Risky IP report entry.

Not

  • Rapor listesinde yalnızca belirlenen eşiği aşan etkinlikler görüntülenir.
  • Bu rapor en fazla son 30 günü izler.
  • Bu uyarı raporu Exchange IP adreslerini veya özel IP adreslerini göstermez. Bunlar yine de dışarı aktarma listesine eklenir.

Screenshot that shows the Risky IP report with the

Listedeki yük dengeleyici IP adresleri

Yük dengeleyici toplama işleminiz başarısız olduğundan uyarı eşiğine ulaşmasını sağlayın. Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. İstemci IP adresini iletmek için yük dengeleyicinizi doğru yapılandırın.

Riskli IP raporunu indirme

İndirme işlevi kullanılarak, son 30 gün içindeki tüm riskli IP adresi listesi Connect Health Portalından dışarı aktarılabilir. Dışarı aktarma sonucu, her bir algılama zaman penceresindeki tüm başarısız AD FS oturum açma girişimlerini içerir, böylece dışarı aktarma sonrasında filtrelemeyi özelleştirebilirsiniz. Dışarı aktarma sonucunda, portalda vurgulanan toplamaların yanı sıra her bir IP adresi için başarısız oturum açma etkinliklerine ilişkin daha fazla ayrıntı gösterilmektedir:

Rapor Öğesi Açıklama
firstAuditTimestamp Algılama zaman penceresi sırasında başarısız etkinliklerin başlatıldığında ilk zaman damgası.
lastAuditTimestamp Algılama zaman penceresi sırasında başarısız etkinliklerin sona erdiğinde son zaman damgası.
attemptCountThresholdIsExceeded Geçerli etkinlikler uyarı eşiğini aşıyorsa gösterilen bayrak.
isWhitelistedIpAddress IP adresine uyarı ve raporlama filtresi uygulanmışsa gösterilen bayrak. Özel IP adresleri (10.x.x.x, 172.x.x.x ve 192.168.x.x) ve Exchange IP adresleri filtrelenir ve True olarak işaretlenir. Özel IP adresi aralıkları görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir.

Bildirim ayarlarını yapılandırma

Bildirim Ayarlar aracılığıyla raporun yönetici kişilerini güncelleştirebilirsiniz. Varsayılan olarak, riskli IP uyarısı e-posta bildirimi kapalı durumdadır. Başarısız etkinlik eşiği raporunu aşan IP adresleri için e-posta bildirimleri al altındaki düğmeyi açarak bildirimi etkinleştirebilirsiniz.

Bağlan Sistem Durumu'ndaki genel uyarı bildirimi ayarları gibi, riskli IP raporuyla ilgili belirlenen bildirim alıcı listesini buradan özelleştirmenizi sağlar. Değişikliği yaparken tüm karma kimlik yöneticilerine de bildirimde bulunabilirsiniz.

Eşik ayarlarını yapılandırma

Eşik Ayarlar uyarı eşiğini güncelleştirebilirsiniz. Sistem eşiği, aşağıdaki ekran görüntüsünde gösterilen ve tabloda açıklanan varsayılan değerlerle ayarlanır.

Risk IP raporu eşik ayarları dört kategoriye ayrılır.

Screenshot of the Microsoft Entra Connect Health Portal that shows the four categories of threshold settings and their default values.

Eşik ayarı Açıklama
(Hatalı U/P + Extranet Kilitleme) / Gün Etkinliği raporlar ve Hatalı Parola sayısı ile Extranet Kilitleme sayısı günde eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 100 şeklindedir.
(Hatalı U/P + Extranet Kilitleme) / Saat Etkinliği raporlar ve Hatalı Parola sayısı ile Extranet Kilitleme sayısı saat başına eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 50’dir.
Extranet Kilitleme / Gün Etkinliği raporlar ve Extranet Kilitleme sayısı günde eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 50’dir.
Extranet Kilitleme / Saat Etkinliği raporlar ve Extranet Kilitleme sayısı saat başına eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 25’dir.

Not

  • Rapor eşiğinin değiştirilmesi, ayar değişikliğinden bir saat sonra uygulanır.
  • Bildirilmiş mevcut öğeler eşik değişikliğinden etkilenmez.
  • Ortamınızda bildirilen olay sayısını analiz edip eşiği uygun şekilde ayarlamanızı öneririz.

SSS

Raporda neden özel IP adresi aralıkları görüyorum?

Özel IP adresleri (10.x.x.x, 172.x.x.x ve 192.168.x.x) ve Exchange IP adresleri, IP onaylı listesinde filtrelenir ve True olarak işaretlenir. Özel IP adresi aralıkları görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir.

Neden raporda yük dengeleyici IP adreslerini görüyorum?

Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. İstemci IP adresini iletmek için yük dengeleyicinizi doğru yapılandırın.

IP adresini nasıl engelleyebilirim?

Tanımlanan kötü amaçlı IP adresini güvenlik duvarına eklemeniz veya Exchange'de engellemeniz gerekir.

Bu rapordaki öğeleri neden göremiyorum?

  • Başarısız oturum açma etkinlikleri eşik ayarlarını aşmıyor.
  • AD FS sunucu listenizde "Sistem sağlığı hizmeti güncel değil" uyarısının etkin olmadığından emin olun. Bu uyarıyla ilgili sorunları giderme hakkında daha fazla bilgi edinin.
  • AD FS gruplarında denetimler etkinleştirilmez.

Rapora neden erişemiyorum?

Genel Yönetici istrator veya Güvenlik Okuyucusu izinlerine sahip olmanız gerekir. Erişim için Genel Yönetici istrator'ınız ile iletişime geçin.

Sonraki adımlar