Отчет о рискованных IP-адресах
клиенты служб федерации Active Directory (AD FS) могут открывать доступ к конечным точкам аутентификации паролей в интернете, чтобы обеспечить пользователям аутентификацию для доступа к облачным приложениям, таким как Microsoft 365.
Злоумышленник может попытаться выполнить входы в систему AD FS, чтобы угадать пароль конечного пользователя и получить доступ к ресурсам приложения. По состоянию на Windows Server 2012 R2 AD FS предоставляет функции блокировки учетной записи экстрасети, чтобы предотвратить эти типы атак. Если вы используете более раннюю версию, настоятельно рекомендуется обновить систему AD FS до Windows Server 2016.
Кроме того, для одного IP-адреса можно попытаться выполнить несколько попыток входа под несколькими пользователями. В таких случаях количество попыток для каждого пользователя может находиться под пороговым значением защиты блокировки учетной записи в AD FS.
Microsoft Entra Connect Health теперь предоставляет отчет о рискованных IP-адресах, который обнаруживает это условие и уведомляет администраторов. Ниже приведены основные преимущества использования этого отчета:
- Обнаруживает IP-адреса, которые превышают пороговое значение неудачных попыток входа на основе пароля.
- Поддерживает обработку неудачных попыток входа, вызванных неправильным паролем или состоянием блокировки учётной записи в экстрасети.
- Предоставляет Уведомления по электронной почте администраторам оповещений с настраиваемыми параметрами электронной почты
- Предоставляет настраиваемые параметры порогового значения, соответствующие политике безопасности организации
- Предоставляет загружаемые отчеты для автономного анализа и интеграции с другими системами с помощью автоматизации
Примечание.
Чтобы применять этот отчет, необходимо убедиться, что включен аудит AD FS. Дополнительные сведения см. в разделе "Включение аудита для AD FS".
Для доступа к этому предварительному выпуску требуются разрешения Читатель безопасности.
Что в отчете?
Сбой активности входа, связанной с IP-адресами клиента, агрегируется через серверы прокси веб-приложения. Каждый элемент в отчете о рискованных IP-адресах отображает агрегированную информацию о неудачных входах в AD FS, превышающих указанное пороговое значение.
В отчете представлены следующие данные.
| Элемент отчета | Описание |
|---|---|
| Отметка времени | Метка времени, основанная на местном времени центра администрирования Microsoft Entra, когда начинается окно времени обнаружения. Все ежедневные события генерируются в полночь по времени UTC. События, происходящие ежечасно, имеют отметки времени, округлённые до начала часа. Вы можете найти первое время начала действия из firstAuditTimestamp в экспортируемом файле. |
| Тип триггера | Тип периода времени обнаружения. Есть почасовые и ежедневные типы триггеров агрегации. Они полезны в различении между высокочастотной атакой методом перебора и медленной атакой, где количество попыток распределено в течение дня. |
| IP-адрес | Один рискованный IP-адрес, с которым связаны следующие действия входа: неправильный пароль или блокировка экстрасети. Это может быть IPv4 или IPv6-адрес. |
| Число ошибок неправильного пароля | Количество ошибок с неправильным паролем, происходящих с IP-адреса в течение временного окна обнаружения. Ошибки неправильного пароля могут возникать несколько раз для определенных пользователей. Примечание. Это число не включает неудачные попытки, вызванные истекшим сроком действия паролей. |
| Число ошибок блокировки экстрасети | Количество ошибок блокировки экстрасети, происходящих с IP-адреса в течение периода обнаружения. Ошибки блокировки экстрасети могут возникать несколько раз для определенных пользователей. Это число отображается только в том случае, если блокировка экстрасети настроена в AD FS (версии 2012R2 и более поздних версиях). Примечание. Настоятельно рекомендуется включить эту функцию, если вы разрешаете учетные записи экстрасети, использующие пароли. |
| Попытки уникальными пользователями | Количество уникальных учетных записей пользователей, к которым пытались получить доступ с IP-адреса в течение временного окна обнаружения. Отличается от одного шаблона атаки пользователя и шаблона многопользовательской атаки. |
Например, следующий элемент отчета указывает, что во время окна 6:00–7 вечера 28 февраля 2018 г. IP-адрес 104.2XX.2XX.9 не имел плохих ошибок паролей и ошибок блокировки экстрасети 284. В рамках критериев пострадали четырнадцать уникальных пользователей. Событие активности превысило установленный почасовой порог отчета.
Примечание.
- В списке отчетов отображаются только действия, превышающие указанное пороговое значение.
- Этот отчет отслеживает последние 30 дней в большинстве случаев.
- В этом отчете оповещений не отображаются IP-адреса Exchange или частные IP-адреса. Они по-прежнему включаются в список экспорта.
IP-адреса подсистемы балансировки нагрузки в списке
Возможно, агрегат подсистемы балансировки нагрузки произошел сбоем, что привело к превышению порогового значения оповещения. Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Настройте подсистему балансировки нагрузки правильно, чтобы передать IP-адрес клиента.
Скачивание отчета о рискованных IP-адресах
Используя функцию скачивания, весь список рискованных IP-адресов за последние 30 дней можно экспортировать с портала Connect Health. Результат экспорта будет включать все неудачные действия входа AD FS в каждый период времени обнаружения, чтобы можно было настроить фильтрацию после экспорта. Помимо выделенных агрегаций на портале в результатах экспорта также показаны дополнительные сведения о действиях входа, завершившихся со сбоем, по IP-адресам:
| Элемент отчета | Описание |
|---|---|
| время первого аудита | Первая отметка времени, когда начались неудачные действия в течение окна времени обнаружения. |
| временная метка последней проверки | Последняя метка времени, когда ошибочные действия закончились в течение временного окна обнаружения. |
| Превышен порог попыток | Флаг, показывающий, что текущие действия превышают порог тревоги. |
| являетсяIPАдресИзБелогоСписка | Флаг, определяющий, что IP-адрес отфильтрован для оповещений и отчетов. Частные IP-адреса (10.x.x.x, 172.x.x.x и 192.168.x.x) и IP-адреса Exchange фильтруются и помечаются как True. Если вы видите диапазоны частных IP-адресов, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. |
Настройка параметров уведомлений
Вы можете обновить контакты администратора отчета с помощью настроек уведомлений. По умолчанию уведомление электронной почты об оповещении о рискованных IP-адресах находится в состоянии отключения . Вы можете включить уведомления, переключив кнопку под Получать уведомления по электронной почте для IP-адресов, превышающих пороговое значение отчетов о проваленной активности.
Как и универсальные параметры уведомлений в Connect Health, вы можете настроить список предназначенных получателей для уведомлений о отчете о подозрительных IP-адресах. Вы также можете уведомить всех администраторов, отвечающих за гибридную идентификацию, при внесении изменений.
Настроить пороговые значения
Пороговое значение оповещения можно обновить в параметрах порогового значения. Пороговое значение системы устанавливается со значениями по умолчанию, которые показаны на следующем снимке экрана и описаны в таблице.
Параметры порогового значения IP-отчета о рисках разделены на четыре категории.
Снимок экрана портала Microsoft Entra Connect Health, показывающего четыре категории настроек порога и их значения по умолчанию.
| Параметр порогового значения | Описание |
|---|---|
| (Неверное имя или пароль + блокировка экстрасети) / день | Сообщает о деятельности и активирует оповещение, когда сумма количества недопустимых паролей и количества блокировок на экстрасети превышает пороговое значение за день. Значение по умолчанию — 100. |
| (Неверное имя или пароль + блокировка экстрасети) / час | Сообщает о действии и активирует оповещение, когда сумма недопустимых паролей и блокировок доступа к экстрасети превышает пороговое значение в час. Значение по умолчанию — 50. |
| Блокировка экстранета / блокировка на день | Сообщает о действии и отправляет уведомление, когда число блокировок экстрасети превышает пороговое значение за день. Значение по умолчанию — 50. |
| Блокировка экстрасети / час | Сообщает о действиях и отправляет уведомление, когда количество блокировок доступа к экстрасети превышает пороговое значение в течение часа. По умолчанию используется значение 25. |
Примечание.
- Изменение порогового значения отчета будет применено через час после изменения параметра.
- Имеющиеся элементы отчета не будут затронуты изменением порогового значения.
- Рекомендуется проанализировать количество событий, сообщаемых в вашей среде, и соответствующим образом настроить пороговое значение.
Вопросы и ответы
Почему в отчете отображаются диапазоны частных IP-адресов?
Частные IP-адреса (10.x.x.x, 172.x.x.x и 192.168.x.x) и IP-адреса Exchange фильтруются и помечаются как True в утвержденном списке IP-адресов. Если вы видите диапазоны частных IP-адресов, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения.
Почему в отчете отображаются IP-адреса подсистемы балансировки нагрузки?
Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Настройте подсистему балансировки нагрузки правильно, чтобы передать IP-адрес клиента.
Как заблокировать IP-адрес?
Необходимо добавить указанный вредоносный IP-адрес в брандмауэр или заблокировать его в Exchange.
Почему в этом отчете нет элементов?
- Неудачные попытки входа не превышают пороговые значения.
- Убедитесь, что в списке серверов AD FS нет оповещений "Служба медицинского обслуживания не актуальна". Дополнительные сведения о том, как устранить эту проблему, см. в этой статье.
- Проверки не включены в пулах AD FS.
Почему я не могу получить доступ к отчету?
У вас должны быть права доступа Security Reader.