风险 IP 报表
Active Directory 联合身份验证服务 (AD FS) 客户可以将密码身份验证终结点公开给 Internet,以便为最终用户提供身份验证服务,方便他们访问 Microsoft 365 等 SaaS 应用程序。
恶意参与者可能会尝试登录 AD FS 系统,用猜测最终用户密码的方式获得应用程序资源的访问权限。 从 Windows Server 2012 R2 开始,AD FS 提供 Extranet 帐户锁定功能来防止这些类型的攻击。 如果所用为早期版本,强烈建议将 AD FS 系统升级到 Windows Server 2016。
另外,单个 IP 地址可能会尝试针对多个用户进行多次登录。 在这些情况下,每个用户的尝试次数可能低于 AD FS 中的帐户锁定保护阈值。
Microsoft Entra Connect Health 现在提供的风险 IP 报表可检测此条件并通知管理员。 下面是使用此报表的主要优势:
- 检测超出基于密码的登录失败次数阈值的 IP 地址
- 支持由于错误密码或 Extranet 锁定状态导致的失败登录
- 使用可自定义的电子邮件设置,提供电子邮件通知来提醒管理员
- 提供可以自定义的阈值设置,可以与组织的安全策略相匹配
- 提供可供下载的报表,适合进行脱机分析,并可通过自动化操作与其他系统集成
报表中有哪些内容?
失败的登录活动客户端 IP 地址会通过 Web 应用程序代理服务器进行聚合。 风险 IP 报告中的每个项目都会显示有关失败的 AD FS 登录活动(失败次数已超出指定阈值)的聚合信息。
该报告提供以下信息:
| 报表项 | 说明 |
|---|---|
| 时间戳 | 当检测时间窗口启动时,基于 Microsoft Entra 管理中心本地时间的时间戳。 所有每日事件都在 UTC 时间的午夜生成。 每小时事件的时间戳舍入为整点。 可以在已导出文件的“firstAuditTimestamp”中找到第一个活动开始时间。 |
| 触发器类型 | 检测时段的类型。 聚合触发器类型为每小时或每日。 它们有助于区分高频暴力攻击和慢速攻击,后者在一天中的尝试攻击行动是分散的。 |
| IP 地址 | 密码错误或者 Extranet 登录活动处于锁定状态的单一风险 IP 地址。 它可以是 IPv4 或 IPv6 地址。 |
| “密码不正确”错误计数 | 在检测时段从 IP 地址中发生“密码不正确”错误的计数。 某些用户的“密码不正确”错误可能发生多次。 注意:此计数不包括密码过期导致的失败尝试。 |
| Extranet 锁定错误计数 | 在检测时段从 IP 地址中发生“Extranet 锁定”错误的计数。 某些用户的“Extranet 锁定”错误可能发生多次。 仅当在 AD FS(版本 2012R2 及更高版本)中配置 Extranet 锁定时,才会显示此计数。 注意:强烈建议在允许使用密码进行 Extranet 登录的情况下启用此功能。 |
| 已尝试的唯一用户 | 在检测时段从 IP 地址中进行了尝试的唯一用户的计数。 区分单用户攻击模式和多用户攻击模式。 |
例如,以下报表项表示在 2018 年 2 月 28 日下午 6 点到 7 点时段内,IP 地址 104.2XX.2XX.9 没有密码错误和 284 Extranet 锁定错误。 符合条件的 14 个唯一用户受影响。 活动事件超出指定报表的小时阈值。
注意
- 只有超过指定阈值的活动才会显示在报表列表中。
- 此报表最多追溯到过去 30 天。
- 此警报报表不显示 Exchange IP 地址或专用 IP 地址。 它们仍包括在导出列表中。
列表中的负载均衡器 IP 地址
负载均衡器聚合可能已失败,导致其达到警报阈值。 如果出现负载均衡器 IP 地址,很可能是因为外部负载均衡器在将请求传递给 Web 应用程序代理服务器时未发送客户端 IP 地址。 请正确配置负载均衡器,使之传递转发客户端 IP 地址。
下载有风险的 IP 报表
使用下载功能,可以将过去 30 天的整个风险 IP 地址列表从 Connect Health 门户导出 导出结果将包括每个检测时段所有失败的 AD FS 登录活动,因此可以在导出后自定义筛选功能。 除了门户中突出显示的聚合,导出结果还显示有关已失败登录活动(按 IP 地址划分)的更多详细信息:
| 报告项 | 说明 |
|---|---|
| firstAuditTimestamp | 在检测时段启动失败的活动时的第一个时间戳。 |
| lastAuditTimestamp | 在检测时段结束失败的活动时的最后一个时间戳。 |
| attemptCountThresholdIsExceeded | 表示当前活动是否超出警报阈值的标志。 |
| isWhitelistedIpAddress | 表示 IP 地址是否从警报和报表进行筛选的标志。 专用 IP 地址(10.x.x.x、172.x.x.x 和 192.168.x.x)和 Exchange IP 地址会在筛选后标记为 True。 如果看到专用 IP 地址范围,则很可能是因为外部负载均衡器在将请求传递给 Web 应用程序代理服务器时未发送客户端 IP 地址。 |
配置通知设置
可以通过“通知设置”更新报表的管理员联系人。 默认情况下,有风险的 IP 警报电子邮件通知处于关闭状态。 可以通过切换“获取超过失败活动阈值的 IP 地址报表的电子邮件通知”下的按钮来启用通知。
与 Connect Health 中的泛型警报通知设置一样,它可以让你在此处自定义有关有风险的 IP 报表的指定通知收件人列表。 也可在进行更改时通知所有混合标识管理员。
配置阈值设置
可以在“阈值设置”中更新警报阈值。 系统阈值设置为默认值,如以下屏幕截图所示和表中所述。
有风险的 IP 报表阈值设置分为四个类别。
| 阈值设置 | 说明 |
|---|---|
| (错误 U/P + Extranet 锁定) / 天 | 在特定条件下报告活动并触发警报通知。该特定条件是:每天的“密码不正确”错误的计数加上“Extranet 锁定”错误的计数超出该阈值。 默认值为 100。 |
| (错误 U/P + Extranet 锁定) / 小时 | 在特定条件下报告活动并触发警报通知。该特定条件是:每小时的“密码不正确”错误的计数加上“Extranet 锁定”错误的计数超出该阈值。 默认值为 50。 |
| Extranet 锁定 / 天 | 在特定条件下报告活动并触发警报通知。该特定条件是:每天的“Extranet 锁定”错误的计数超出该阈值。 默认值为 50。 |
| Extranet 锁定 / 小时 | 在特定条件下报告活动并触发警报通知。该特定条件是:每小时的“Extranet 锁定”错误的计数超出该阈值。 默认值为 25。 |
注意
- 在设置更改一小时后,将会应用对报表阈值的更改。
- 现有的报表项不会受到阈值更改的影响。
- 建议分析环境中报告的事件数,并相应地调整阈值。
常见问题解答
为何在报表中发现专用 IP 地址范围?
专用 IP 地址(10.x.x.x、172.x.x.x 和 192.168.x.x)和 Exchange IP 地址会在筛选后在 IP 允许列表中标记为 True。 如果看到专用 IP 地址范围,则很可能是因为外部负载均衡器在将请求传递给 Web 应用程序代理服务器时未发送客户端 IP 地址。
为何在报表中出现负载均衡器 IP 地址?
如果出现负载均衡器 IP 地址,很可能是因为外部负载均衡器在将请求传递给 Web 应用程序代理服务器时未发送客户端 IP 地址。 请正确配置负载均衡器,使之传递转发客户端 IP 地址。
如何阻止 IP 地址?
应该将标识的恶意 IP 地址添加到防火墙,或者在 Exchange 中进行阻止。
为何此报表中看不到任何项目?
- 失败的登录活动数未超出阈值设置。
- 确保在 AD FS 服务器列表中没有活动的“运行状况服务不是最新的”警报。 详细了解如何排查此警报问题。
- AD FS 场中未启用审核。
为何无法访问报表?
需要全局管理员或安全读取者权限。 联系全局管理员以获取访问权限。