共用方式為

具風險 IP 的報告活頁簿

  • 發行項

注意

若要使用具風險的IP報表活頁簿,您必須在 [診斷設定] 刀鋒視窗中啟用 'ADFSSignInLogs'。 這是透過 Connect Health 將 AD FS 登入傳送至 Microsoft Entra ID 的 Log Analytics 串流。 若要深入了解 Microsoft Entra ID 中的 AD FS 登入,請在此檢視我們的文件。

AD FS 客戶可能會向網際網路公開密碼驗證端點,以提供驗證服務,可讓終端使用者存取 Microsoft 365 等 SaaS 應用程式。 在此情況下,不良動作專案可能會嘗試對AD FS系統進行登入,以猜測用戶的密碼並取得應用程式資源的存取權。 自 Windows Server 2012 R2 中的 AD FS 開始,AD FS 會提供外部網路帳戶鎖定功能以避免這類攻擊。 如果您使用較低的版本,我們強烈建議您將 AD FS 系統升級至 Windows Server 2016。

此外,單一 IP 位址也有可能會嘗試多次登入多個使用者。 在這些情況下,每位使用者的嘗試次數可能會低於 AD FS 中帳戶鎖定保護的閾值。 Microsoft Entra Connect Health 現在會提供「具風險的 IP 報告」來偵測此狀況,並通知系統管理員。 此報告的主要優點如下:

  • 可偵測到超過失敗密碼型登入閾值的 IP 位址
  • 支援由於不正確密碼或外部網路鎖定狀態所導致的失敗登入
  • 支援透過 Azure 警示啟用警示
  • 可自訂的閾值設定,以符合組織的安全性原則
  • 可自訂的查詢和展開的視覺效果,以供進一步分析
  • 舊版具風險的 IP 報告中的展開功能,將在 2022 年 1 月 24 日後遭取代。

需求

  1. 已安裝適用於 AD FS 的 Connect Health 並更新為最新代理程式。
  2. 已啟用 「ADFSSignInLogs」 資料流的 Log Analytics 工作區。
  3. 使用 Microsoft Entra ID 監視器活頁簿的權限。 若要使用活頁簿,您需有:
  • 一個具有 Microsoft Entra ID P1 或 P2 授權的 Microsoft Entra 租用戶。
  • 存取 Log Analytics 工作區,以及下列Microsoft Entra 識別碼中的角色(如果透過 Microsoft Entra 系統管理中心存取 Log Analytics):安全性系統管理員、安全性讀取者、報告讀取者

報告中有什麼內容?

具風險的 IP 報告活頁簿採用 ADFSSignInLogs 串流中的資料,可以快速將具風險的 IP 視覺化並加以分析。 您可以針對閾值計數,設定和自訂這些參數。 活頁簿也可以根據查詢進行設定,而且每個查詢都可以根據組織的需求來更新和修改。

具風險的 IP 活頁簿會分析來自 ADFSSignInLogs 的資料,協助您偵測密碼噴灑或密碼暴力密碼破解攻擊。 活頁簿有兩個部分。 第一個部分「具風險的 IP 分析」會根據指定的錯誤閾值和偵測時段長度,找出具風險的 IP 位址。 第二個部分會提供所選 IP 的登入詳細資料和錯誤計數。

螢幕擷取畫面顯示活頁簿位置的檢視。

  • 活頁簿會顯示地圖視覺效果和區域明細,快速分析具風險的 IP 位置。
  • 具風險 IP 詳細資料表格類似舊版具風險 IP 報告的功能。 如需表格中欄位的詳細資訊,請參閱下一節。
  • 具風險的 IP 時間軸會以時間軸檢視,顯示任何異常或要求尖峰的快速檢視
  • 依 IP 的登入詳細資料和錯誤計數,允許依 IP 或使用者的詳細篩選過的檢視,以展開詳細資料表格。

具風險的 IP 報告表格中的每個項目會顯示有關已超過指定閾值之失敗 AD FS 登入活動的彙總資訊。 其中提供下列資訊:螢幕擷取畫面顯示具風險的 IP 報告,其中醒目提示資料行標題。

報告項目 描述
偵測時段開始時間 根據 Microsoft Entra 系統管理中心的本機時間,顯示偵測時間範圍開始時的時間戳記。
所有每日事件都會在午夜 UTC 時間產生。
每小時事件的時間戳記會四捨五入到該小時的開始。 您可以從導出的檔案中的 「firstAuditTimestamp」 找到第一個活動開始時間。
偵測時段長度 顯示偵測時間範圍的類型。 彙總觸發程序類型是每小時或每日。 這有助於偵測嘗試次數會分散在整天的高頻率暴力密碼破解攻擊與緩慢攻擊。
IP 位址 具有不正確密碼或外部網路鎖定登入活動的單一「具風險的 IP 位址」。 這可能是 IPv4 或 IPv6 位址。
不正確密碼錯誤計數 (50126) 在偵測時間範圍內,從 IP 位址所發生的不正確密碼錯誤計數。 某些使用者可能會多次發生不正確密碼錯誤。 請注意,這不包括由於密碼過期所導致的失敗嘗試。
外部網路鎖定的錯誤計數 (300030) 在偵測時間範圍內,從 IP 位址所發生的外部網路鎖定錯誤計數。 某些使用者可能會多次發生外部網路鎖定錯誤。 必須在 AD FS (2012R2 版或更高版本) 中設定外部網路鎖定,才能看到此計數。 注意:我們強烈建議您在允許使用密碼進行外部網路登入時開啟這項功能。
嘗試的唯一使用者 在偵測時間範圍內,從 IP 位址所嘗試的唯一使用者帳戶計數。 這個機制可供用來區別單一使用者攻擊模式與多使用者攻擊模式。

依 IP 位址或使用者名稱篩選報告,查看每個具風險 IP 事件登入詳細資料的展開檢視。

存取活頁簿

提示

本文中的步驟可能略有不同,具體取決於您從哪個入口網站展開作業。

若要存取活頁簿:

  1. 至少以混合式身分識別管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [混合式管理] > *[監視和健康情況] > [活頁簿]
  3. 選取 [具風險的 IP 報告活頁簿]。

清單中的負載平衡器 IP 位址

負載平衡器會彙總失敗的登入活動,並觸發警示閾值。 如果您看見負載平衡器 IP 位址,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。 請正確設定您的負載平衡器,以傳遞轉送用戶端 IP 位址。

設定閾值設定

您可以透過 [閾值設定] 更新警示閾值。 一開始,系統依預設會設定閾值。 閾值設定可以依小時或天的偵測次數設定,而且可在篩選條件中自訂。

閾值篩選

閾值項目 描述
不正確密碼 + 外部網路鎖定錯誤閾值 當每小時或天的不正確密碼計數加上外部網路鎖定計數超過此閾值設定時,系統會報告活動和觸發警示通知。
外部網路鎖定錯誤閾值 當每小時或天的外部網路鎖定計數超過此閾值設定時,系統會報告活動和觸發警示通知。 預設值為 50。

可透過自訂閾值的篩選條件上方的切換按鈕,設定 [小時] 或 [天] 偵測時段長度。

透過 Microsoft Entra 系統管理中心,使用 Azure 監視器警示設定通知警示:

Azure 警示規則

  1. [Microsoft Entra 系統管理中心] 搜尋搜尋列中的 [監視],以流覽至 Azure “Monitor” 服務。 從左側功能表中選取 [警示],然後選取 [+ 新增警示規則]。
  2. 在 [建立警示規則] 刀鋒視窗上:
  • 範圍:按兩下 [選取資源],然後選取包含您想要監視之ADFSSignInLogs的Log Analytics工作區。
  • 條件:按兩下 [新增條件]。 針對 [訊號類型] 選取 [記錄],然後針對 [監視服務] 選取 [Log Analytics]。 選擇 [自定義記錄搜尋]。
  1. 設定觸發警示的條件。 若要符合 Connect Health 具風險 IP 報告中的電子郵件通知,請依照下方指示操作。
  • 複製並貼上以下查詢,然後指定錯誤計數閾值。 此查詢會產生超過指定錯誤閾值的 IP 數量。
ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

或者若為合併閾值:

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

注意

警示邏輯表示如果至少一個來自外部網路鎖定錯誤計數,或合併不正確密碼和外部網路鎖定錯誤計數的 IP,超過指定閾值時,系統會觸發警示。 您可以選取評估偵測具風險 IP 查詢的頻率。

常見問題集

為何我會在報告中看到負載平衡器 IP 位址?
如果您看見負載平衡器 IP 位址,則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。 請正確設定您的負載平衡器,以傳遞轉送用戶端 IP 位址。

我該如何封鎖 IP 位址?
請將已識別出的惡意 IP 位址新增至防火牆,或在 Exchange 中封鎖。

為何我未在此報告中看到任何項目?

  • 'ADFSSignInLogs' Log Analytics 串流未在 [診斷設定] 中啟用。
  • 失敗登入活動未超過閾值設定。
  • 請確定AD FS 伺服器清單中沒有作用中的「健康情況服務不是最新」警示。 深入了解如何針對此警示進行疑難排解
  • AD FS 伺服器陣列中未啟用稽核。

下一步