Поделиться через


Отчет о рискованных IP-адресах

службы федерации Active Directory (AD FS) (AD FS) клиенты могут предоставлять конечные точки проверки подлинности паролей в Интернете, чтобы предоставить пользователям службы проверки подлинности для доступа к приложениям SaaS, таким как Microsoft 365.

Злоумышленник может попытаться выполнить входы в систему AD FS, чтобы угадать пароль конечного пользователя и получить доступ к ресурсам приложения. По состоянию на Windows Server 2012 R2 AD FS предоставляет функции блокировки учетной записи экстрасети, чтобы предотвратить эти типы атак. Если вы используете более раннюю версию, настоятельно рекомендуется обновить систему AD FS до Windows Server 2016.

Кроме того, для одного IP-адреса можно попытаться выполнить несколько имен входа для нескольких пользователей. В таких случаях количество попыток для каждого пользователя может находиться под пороговым значением защиты блокировки учетной записи в AD FS.

Microsoft Entra Connect Health теперь предоставляет отчет о рискованных IP-адресах, который обнаруживает это условие и уведомляет администраторов. Ниже приведены основные преимущества использования этого отчета:

  • Обнаруживает IP-адреса, превышающие пороговое значение неудачных имен входа на основе паролей.
  • Поддерживает неудачные имена входа, вызванные неправильным паролем или состоянием блокировки экстрасети
  • Предоставляет Уведомления по электронной почте администраторам оповещений с настраиваемыми параметрами электронной почты
  • Предоставляет настраиваемые параметры порогового значения, соответствующие политике безопасности организации
  • Предоставляет загружаемые отчеты для автономного анализа и интеграции с другими системами с помощью автоматизации

Примечание.

Чтобы применять этот отчет, необходимо убедиться, что включен аудит AD FS. Дополнительные сведения см. в разделе "Включение аудита для AD FS".

Для доступа к этому предварительному выпуску требуется разрешение средства чтения безопасности.  

Что в отчете?

Сбой ip-адресов клиента действий входа агрегируются с помощью серверов прокси веб-приложения. Каждый элемент в отчете о рискованных IP-адресах отображает агрегированные сведения о неудачных действиях входа AD FS, превышающих указанное пороговое значение.

В отчете представлены следующие данные.

Снимок экрана: отчет о рискованных IP-адресах с выделенными заголовками столбцов.

Элемент отчета Description
Отметка времени Метка времени, основанная на локальном центре администрирования Microsoft Entra при запуске периода времени обнаружения.
Все ежедневные события создаются в полночь в формате UTC.
Почасовая отметка времени округляется до начала часа. Вы можете найти первое время начала действия из firstAuditTimestamp в экспортируемом файле.
Тип триггера Тип периода времени обнаружения. Есть почасовые и ежедневные типы триггеров агрегации. Они полезны в разных случаях между атакой с высокой частотой подбора и медленной атакой, где количество попыток распределяется в течение дня.
IP-адрес Один ненадежный IP-адрес, по которому выполнено одно из таких действий входа: неправильный пароль или блокировка экстрасети. Это может быть IPv4 или IPv6-адрес.
Число ошибок с неправильным вводом пароля Количество ошибок с неправильным паролем, возникающих из IP-адреса в течение периода времени обнаружения. Ошибки неправильного пароля могут возникать несколько раз для определенных пользователей. Примечание. Это число не включает неудачные попытки, вызванные истекшим сроком действия паролей.
Число ошибок блокировки экстрасети Количество ошибок блокировки экстрасети, возникающих из IP-адреса в течение периода времени обнаружения. Ошибки блокировки экстрасети могут возникать несколько раз для определенных пользователей. Это число отображается только в том случае, если блокировка экстрасети настроена в AD FS (версии 2012R2 и более поздних версиях). Примечание. Настоятельно рекомендуется включить эту функцию, если вы разрешаете учетные записи экстрасети, использующие пароли.
Попытки уникальных пользователей Количество уникальных учетных записей пользователей, которые пытаются выполнить из IP-адреса во время обнаружения. Отличается от одного шаблона атаки пользователя и шаблона многопользовательской атаки.

Например, следующий элемент отчета указывает, что во время окна 6:00–7 вечера 28 февраля 2018 г. IP-адрес 104.2XX.2XX.9 не имел плохих ошибок паролей и ошибок блокировки экстрасети 284. В рамках критериев пострадали четырнадцать уникальных пользователей. Событие действия превысило заданное почасовое пороговое значение отчета.

Снимок экрана, на котором показан пример записи отчета о ненадежных IP-адресах.

Примечание.

  • В списке отчетов отображаются только действия, превышающие указанное пороговое значение.
  • Этот отчет отслеживает последние 30 дней в большинстве случаев.
  • В этом отчете оповещений не отображаются IP-адреса Exchange или частные IP-адреса. Они по-прежнему включаются в список экспорта.

Снимок экрана: отчет о рискованных IP-адресах с выделенными кнопками

IP-адреса подсистемы балансировки нагрузки в списке

Возможно, агрегат подсистемы балансировки нагрузки произошел сбоем, что привело к превышению порогового значения оповещения. Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Настройте подсистему балансировки нагрузки правильно, чтобы передать IP-адрес клиента.

Скачивание отчета о рискованных IP-адресах

Используя функцию скачивания, весь список рискованных IP-адресов за последние 30 дней можно экспортировать с портала Connect Health. Результат экспорта будет включать все неудачные действия входа AD FS в каждый период времени обнаружения, чтобы можно было настроить фильтрацию после экспорта. Помимо выделенных агрегаций на портале в результатах экспорта также показаны дополнительные сведения о действиях входа, завершившихся со сбоем, по IP-адресам:

Элемент отчета Description
firstAuditTimestamp Первая метка времени при запуске неудачных действий во время обнаружения.
lastAuditTimestamp Последняя метка времени, когда неудачные действия закончились во время обнаружения.
attemptCountThresholdIsExceeded Флаг, определяющий превышение текущего порога предупреждения для текущих действий.
isWhitelistedIpAddress Флаг, определяющий, что IP-адрес отфильтрован из оповещения и отчета. Частные IP-адреса (10.x.x.x.x, 172.x и 192.168.x.x) и IP-адреса Exchange помечаются как True. Если вы видите диапазоны частных IP-адресов, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения.

Настройка параметров уведомлений

Вы можете обновить контакты администратора отчета с помощью параметров уведомлений. По умолчанию уведомление электронной почты об оповещении о рискованных IP-адресах находится в состоянии отключения . Вы можете включить уведомление, переключив кнопку в разделе Get Уведомления по электронной почте для IP-адресов, превышающих пороговое значение действия.

Как и универсальные параметры уведомлений оповещений в Connect Health, вы можете настроить список назначенных получателей уведомлений о отчете о рискованных IP-адресах. Вы также можете уведомить всех администраторов гибридных удостоверений при внесении изменений.

Настроить пороговые значения

Пороговое значение оповещения можно обновить в параметрах порогового значения. Пороговое значение системы устанавливается со значениями по умолчанию, которые показаны на следующем снимке экрана и описаны в таблице.

Параметры порогового значения ip-отчета о рисках разделены на четыре категории.

Снимок экрана: портал работоспособности Microsoft Entra Connect, на котором показаны четыре категории параметров порога и их значения по умолчанию.

Параметр порогового значения Description
(Неверное имя или пароль + блокировка экстрасети) / день Сообщает о действии и активирует уведомление об оповещении, когда количество недопустимых паролей плюс количество блокировки экстрасети превышает пороговое значение в день. Значение по умолчанию — 100.
(Неверное имя или пароль + блокировка экстрасети) / час Сообщает о действии и активирует уведомление об оповещении, когда количество недопустимых паролей плюс количество блокировки экстрасети превышает пороговое значение в час. Значение по умолчанию — 50.
Блокировка экстрасети / день Сообщает о действии и активирует уведомление об оповещении, когда количество блокировки экстрасети превышает пороговое значение в день. Значение по умолчанию — 50.
Блокировка экстрасети / час Сообщает о действии и активирует уведомление об оповещении, когда количество блокировки экстрасети превышает пороговое значение в час. По умолчанию используется значение 25.

Примечание.

  • Изменение порогового значения отчета будет применено через час после изменения параметра.
  • Имеющиеся элементы отчета не будут затронуты изменением порогового значения.
  • Рекомендуется проанализировать количество событий, сообщаемых в вашей среде, и соответствующим образом настроить пороговое значение.

Вопросы и ответы

Почему в отчете отображаются диапазоны частных IP-адресов?

Частные IP-адреса (10.x.x.x.x,172.x.x.x и 192.168.x.x.x) фильтруются и помечаются как True в утвержденном списке IP-адресов. Если вы видите диапазоны частных IP-адресов, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения.

Почему в отчете отображаются IP-адреса подсистемы балансировки нагрузки?

Если вы видите IP-адреса подсистемы балансировки нагрузки, скорее всего, внешний балансировщик нагрузки не отправляет IP-адрес клиента при передаче запроса на прокси-сервер веб-приложения. Настройте подсистему балансировки нагрузки правильно, чтобы передать IP-адрес клиента.

Как заблокировать IP-адрес?

Необходимо добавить указанный вредоносный IP-адрес в брандмауэр или заблокировать его в Exchange.

Почему в этом отчете нет элементов?

  • Неудачные действия входа не превышают пороговые параметры.
  • Убедитесь, что в списке серверов AD FS нет оповещений "Служба работоспособности не обновлена". Дополнительные сведения см. в этой статье.
  • Аудиты не включены в фермах AD FS.

Почему я не могу получить доступ к отчету?

У вас должны быть разрешения средства чтения безопасности.

Следующие шаги