具風險的 IP 報告
Active Directory 同盟服務 (AD FS) 客戶可能會向網際網路公開密碼驗證端點,以提供驗證服務,讓終端使用者存取 Microsoft 365 等 SaaS 應用程式。
不良執行者有機會嘗試登入您的 AD FS 系統,以猜出終端使用者的密碼並存取應用程式資源。 自 Windows Server 2012 R2 開始,AD FS 會提供外部網路帳戶鎖定功能以避免這些攻擊類型。 如果您使用較舊的版本,我們強烈建議您將 AD FS 系統升級至 Windows Server 2016。
此外,單一 IP 位址也有可能會嘗試多次登入多個使用者。 在這些情況下,每位使用者的嘗試次數可能會低於 AD FS 中帳戶鎖定保護的閾值。
Microsoft Entra Connect Health 現在提供「具風險的 IP 報告」,此報告會偵測這種狀況,並通知管理員。 以下是使用此報告的主要優點:
- 可偵測超過失敗密碼型登入閾值的 IP 位址
- 支援由於密碼錯誤或外部網路鎖定狀態所導致的失敗登入
- 提供電子郵件通知向管理員發出警示,可自訂電子郵件設定
- 提供可自訂的閾值設定,以符合組織的安全性原則
- 提供可下載的報告,以供進行離線分析以及透過自動化與其他系統整合
報告中包含哪些內容?
失敗的登入活動用戶端 IP 位址會透過 Web 應用程式 Proxy 伺服器彙總。 「具風險的 IP 報告」中的每個項目都會顯示已超過指定閾值之失敗 AD FS 登入活動的彙總資訊。
此報表會提供下列資訊:
報告項目 | 描述 |
---|---|
時間戳記 | 在偵測時間範圍開始時,基於 Microsoft Entra 系統管理中心本機時間的時間戳記。 所有每日事件都會在午夜 UTC 時間產生。 每小時事件的時間戳記會四捨五入到該小時的開始。 您可以從匯出檔案的 “firstAuditTimestamp” 中找到第一個活動的開始時間。 |
觸發程式類型 | 偵測時間範圍的類型。 彙總觸發程式類型是每小時或每日。 這些項目有助於區分嘗試次數分散在整天的高頻率暴力密碼破解攻擊與緩慢攻擊。 |
IP 位址 | 具有不正確密碼或外部網路鎖定登入活動的單一「具風險的 IP 位址」。 可以是 IPv4 或 IPv6 位址。 |
不正確密碼錯誤計數 | 在偵測時間範圍內,從 IP 位址所發生的不正確密碼錯誤計數。 某些使用者可能會多次發生不正確密碼錯誤。 注意:此計數不包含因密碼過期而失敗的嘗試。 |
外部網路鎖定錯誤計數 | 在偵測時間範圍內,從 IP 位址所發生的外部網路鎖定錯誤計數。 某些使用者可能會多次發生外部網路鎖定錯誤。 只有在 AD FS (2012R2 版或更新版本) 中設定外部網路鎖定,才會顯示此計數。 注意:我們強烈建議您在允許使用密碼進行外部網路登入時啟用這項功能。 |
嘗試的不重複使用者 | 在偵測時間範圍內,從 IP 位址所嘗試的不重複使用者帳戶計數。 區別單一使用者攻擊模式與多使用者攻擊模式。 |
例如,下列報告項目指出,在 2018 年 2 月 28 日下午 6 點到下午 7 點的範圍內,IP 位址 104.2XX.2XX.9 沒有任何不正確密碼錯誤,但有 284 個外部網路鎖定錯誤。 在此條件下,有 14 個不重複使用者受到影響。 活動事件已超過指定的報告每小時閾值。
注意
- 報告清單中只會顯示超過指定閾值的活動。
- 此報告僅追蹤過去 30 天內的活動。
- 此警示報告不會顯示 Exchange IP 位址或私人 IP 位址。 它們仍是包含在匯出清單中。
清單中的負載平衡器 IP 位址
您的負載平衡器彙總可能已失敗,導致其達到警示閾值。 如果您看見負載平衡器 IP 位址,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。 正確設定您的負載平衡器,以傳遞轉送用戶端 IP 位址。
下載具風險的 IP 報告
使用 [下載]功能,可以從 Connect Health 入口網站匯出過去 30 天內的完整具風險 IP 位址清單。 匯出結果包含每段偵測時間範圍內所有失敗的 AD FS 登入活動,因此您可以在匯出後自訂篩選。 除了入口網站中醒目提示的彙總外,匯出結果還會顯示有關每個 IP 位址之失敗登入活動的更多詳細資料:
報告項目 | 描述 |
---|---|
firstAuditTimestamp | 偵測時間範圍內失敗活動開始時的第一個時間戳記。 |
lastAuditTimestamp | 偵測時間範圍內失敗活動結束時的最後一個時間戳記。 |
attemptCountThresholdIsExceeded | 目前的活動超過警示閾值時的旗標。 |
isWhitelistedIpAddress | 從警示和報告中篩選出 IP 位址時的旗標。 系統會篩選出私人 IP 位址 (10.x.x.x, 172.x.x.x 和 192.168.x.x) 與 Exchange IP 位址,並將其標記為 True。 如果您看見私人 IP 位址範圍,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。 |
設定通知設定
您可以透過通知設定來更新報告的管理員連絡人。 根據預設,具風險的 IP 警示電子郵件通知處於 [關閉] 狀態。 若要啟用通知,請切換 [在 IP 位址超過失敗活動閾值的報告時取得電子郵件通知] 下的按鈕。
如同 Connect Health 中的一般警示通知設定,您可以從此處自訂具風險 IP 報告的指定通知收件者清單。 您也可以在進行變更時通知所有混合式身分識別管理員。
設定閾值設定
您可以在 [閾值設定] 中更新警示閾值。 系統閾值會設定為預設值,如下列螢幕擷取畫面所示,並於資料表中提供說明。
具風險的 IP 報告閾值設定分為四種類別。
閾值設定 | 描述 |
---|---|
(錯誤 U/P + 外部網路鎖定) / 天 | 當每天的不正確密碼計數加上外部網路鎖定計數超過閾值時,系統會報告活動並觸發警示通知。 預設值為 100。 |
(錯誤 U/P + 外部網路鎖定) / 小時 | 當每小時的不正確密碼計數加上外部網路鎖定計數超過閾值時,系統會報告活動並觸發警示通知。 預設值為 50。 |
外部網路鎖定 / 天 | 當每天的外部網路鎖定計數超過閾值時,系統會報告活動並觸發警示通知。 預設值為 50。 |
外部網路鎖定 / 小時 | 當每小時的外部網路鎖定計數超過閾值時,系統會報告活動並觸發警示通知。 預設值為 25。 |
注意
- 報告閾值的變更會在設定變更一小時後套用。
- 現有的報表項目不會受到閾值變更所影響。
- 建議您分析環境內所報告的事件數目,並適當地調整閾值。
常見問題
為何我會在報告中看到私人 IP 位址範圍?
系統會篩選出私人 IP 位址 ((10.x.x.x, 172.x.x.x 和 192.168.x.x) 與 Exchange IP 位址,並在 IP 核准清單中將其標記為 True。 如果您看見私人 IP 位址範圍,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。
為何我會在報告中看到負載平衡器 IP 位址?
如果您看見負載平衡器 IP 位址,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。 正確設定您的負載平衡器,以傳遞轉送用戶端 IP 位址。
如何封鎖 IP 位址?
請將已識別的惡意 IP 位址新增至防火牆,或在 Exchange 中加以封鎖。
為什麼我看不到此報告中的任何項目?
- 失敗登入活動未超過閾值設定。
- 請確定 AD FS 伺服器清單中沒有作用中的「健全狀況服務不是最新狀態」警示。 深入了解如何針對此警示進行疑難排解。
- AD FS 伺服器陣列中未啟用稽核。
為什麼我無法存取報告?
您必須具有安全性讀取者權限。