高風險 IP 報告簿

發行項
03/11/2025

注意

若要使用具風險的 IP 報表活頁簿，您必須在 [診斷設定] 面板中啟用 'ADFSSignInLogs'。這是一個 Log Analytics 串流，透過 Connect Health 將 AD FS 登入資訊傳送至 Microsoft Entra ID。若要深入了解 Microsoft Entra ID 中的 AD FS 登入，請在此檢視我們的文件。

AD FS 客戶可能會向網際網路公開密碼驗證端點，以提供驗證服務，可讓終端使用者存取 Microsoft 365 等 SaaS 應用程式。在此情況下，不良行為者可能會嘗試登入你的AD FS系統，以猜測終端使用者的密碼並取得應用程式資源的存取權。自 Windows Server 2012 R2 中的 AD FS 開始，AD FS 會提供外部網路帳戶鎖定功能以避免這類攻擊。如果您使用較低的版本，我們強烈建議您將 AD FS 系統升級至 Windows Server 2016。

此外，單一 IP 位址也有可能會嘗試多次登入多個使用者。在這些情況下，每位使用者的嘗試次數可能會低於 AD FS 中帳戶鎖定保護的閾值。 Microsoft Entra Connect Health 現在會提供「具風險的 IP 報告」來偵測此狀況，並通知系統管理員。此報告的主要優點如下：

可偵測到超過失敗密碼型登入閾值的 IP 位址
支援由於不正確密碼或外部網路鎖定狀態所導致的失敗登入
支援透過 Azure 警示啟用通知
可自訂的閾值設定，以符合組織的安全性原則
可自訂的查詢和展開的視覺效果，以供進一步分析
2022 年 1 月 24 日後，「具風險 IP 報告」中的擴充功能將不再使用。

需求

已安裝適用於 AD FS 的 Connect Health 並更新為最新代理程式。
啟用了「ADFSSignInLogs」資料流的 Log Analytics 工作區。
使用 Microsoft Entra ID Monitor 活頁簿的權限。若要使用活頁簿，您需有：

一個具有 Microsoft Entra ID P1 或 P2 授權的 Microsoft Entra 租用戶。
存取 Log Analytics 工作區，以及下列Microsoft Entra 識別碼中的角色（如果透過 Microsoft Entra 系統管理中心存取 Log Analytics）：安全性系統管理員、安全性讀取者、報告讀取者

報告中有什麼內容？

具風險的 IP 報告活頁簿採用 ADFSSignInLogs 串流中的資料，可以快速將具風險的 IP 視覺化並加以分析。您可以針對閾值計數，設定和自訂這些參數。活頁簿也可以根據查詢進行設定，而且每個查詢都可以根據組織的需求來更新和修改。

具風險的 IP 分析工具會分析來自 ADFSSignInLogs 的資料，協助您偵測密碼噴灑攻擊或密碼暴力破解攻擊。活頁簿有兩個部分。第一個部分「具風險的 IP 分析」會根據指定的錯誤閾值和偵測時段長度，找出具風險的 IP 位址。第二個部分會提供所選 IP 的登入詳細資料和錯誤計數。

活頁簿會顯示地圖視覺化和區域劃分，便於快速分析風險 IP 位置。
具風險 IP 詳細資料表格類似舊版具風險 IP 報告的功能。如需表格中欄位的詳細資訊，請參閱下一節。
提供具風險 IP 的時間軸檢視，快速顯示任何異常或請求尖峰
IP 的登入詳細資料和錯誤計數允許您透過 IP 或使用者來篩選詳細檢視，以擴展詳細資料表格。

具風險的 IP 報告表格中的每個項目會顯示有關已超過指定閾值之失敗 AD FS 登入活動的彙總資訊。其中提供下列資訊：

報告項目	描述
偵測時段開始時間	根據 Microsoft Entra 系統管理中心的本機時間，顯示偵測時間範圍開始時的時間戳記。所有每日事件都會在午夜 UTC 時間產生。每小時事件的時間戳記會被調整到該小時的開始。您可以從導出的檔案中的「firstAuditTimestamp」找到第一個活動開始時間。
偵測窗口長度	顯示偵測時間範圍的類型。聚合觸發類型為每小時或每天。這有助於偵測攻擊類型，包括高頻率的暴力密碼破解攻擊與嘗試次數分散於一天中的慢速攻擊。
IP 位址	具有不正確密碼或外部網路鎖定登入活動的單一「具風險的 IP 位址」。這可能是 IPv4 或 IPv6 位址。
錯誤密碼錯誤次數 (50126)	在偵測時間範圍內，從 IP 位址所發生的不正確密碼錯誤計數。某些使用者可能會多次發生不正確密碼錯誤。請注意，這不包括由於密碼過期所導致的失敗嘗試。
外部網路鎖定錯誤次數 (300030)	在偵測時間範圍內，從 IP 位址所發生的外部網路鎖定錯誤計數。某些使用者可能會多次遇到 Extranet 鎖定錯誤。必須在 AD FS (2012R2 版或更高版本) 中設定外部網路鎖定，才能看到這一點。注意：我們強烈建議您在允許使用密碼進行外部網路登入時開啟這項功能。
嘗試的獨特使用者	在偵測時間範圍內，從 IP 位址嘗試的唯一使用者帳戶數量。這個機制可供用來區別單一使用者攻擊模式與多使用者攻擊模式。

依 IP 位址或使用者名稱篩選報告，查看每個具風險 IP 事件登入詳細資料的展開檢視。

存取活頁簿

若要存取活頁簿：

以至少混合式身分識別管理員的身分登入Microsoft Entra 系統管理中心。
瀏覽至 [身份識別]> [混合管理]> *[監視和健康狀態]> [活頁簿]。
選取高風險 IP 報告活頁簿。

清單中的負載平衡器 IP 位址

負載平衡器會彙總失敗的登入活動，並觸發警示閾值。如果您看見負載平衡器 IP 位址，則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。請正確設定您的負載平衡器，以傳遞客戶端 IP 位址。

設定閾值設定

您可以透過 [閾值設定] 更新警示閾值。一開始，系統依預設會設定閾值。閾值設定可以依小時或天的偵測次數設定，而且可在篩選條件中自訂。

閾值項目	描述
錯誤密碼 + 外部網鎖定臨界值	當每小時或天的不正確密碼計數加上外部網路鎖定計數超過此閾值設定時，系統會報告活動和觸發警示通知。
外部網路鎖定錯誤閾值	當每小時或天的外部網路鎖定計數超過此閾值設定時，系統會報告活動和觸發警示通知。預設值為 50。

可透過篩選條件上方的切換按鈕自訂閾值，設定偵測時段長度為小時或天。

透過 Microsoft Entra 系統管理中心，使用 Azure 監視器警示設定通知警示：

在 [Microsoft Entra 系統管理中心] 搜尋搜尋列中的 [監視]，以流覽至 Azure “Monitor” 服務。從左側功能表中選取 [警示]，然後選取 [+ 新增警示規則]。
在「建立警示規則」面板上：

範圍：按兩下 [選取資源]，然後選取包含您想要監視之ADFSSignInLogs的Log Analytics工作區。
條件：按兩下 [新增條件]。針對 [訊號類型] 選取 [記錄]，然後針對 [監視服務] 選取 [Log Analytics]。選擇 [自定義記錄搜尋]。

設定觸發警示的條件。若要符合 Connect Health 具風險 IP 報告中的電子郵件通知，請依照下方指示操作。

複製並貼上以下查詢，然後指定錯誤計數閾值。此查詢會產生超過指定錯誤閾值的 IP 數量。

ADFSSignInLogs
| extend ErrorCode = ResultType
| where ErrorCode in ("50126", "300030")
| summarize badPasswordErrorCount = countif(ErrorCode == "50126"), extranetLockoutErrorCount = countif(ErrorCode == "300030") by IPAddress
| where extranetLockoutErrorCount > [TODO: put error count threshold here]

或者若為合併閾值：

badPasswordErrorCount + extranetLockoutErrorCount > [TODO: put error count threshold here] // Customized thresholds

注意

警示邏輯表示，如果至少一個來自外部網路的 IP 遭遇鎖定錯誤，或不正確密碼與外部網路鎖定錯誤的總計數超過指定的閾值，將觸發警示。您可以選取評估偵測具風險 IP 查詢的頻率。

常見問題集

為何我會在報告中看到負載平衡器 IP 位址？
如果您看見負載平衡器 IP 位址，則很可能表示您的外部負載平衡器未在將要求傳遞至 Web 應用程式 Proxy 伺服器時傳送用戶端 IP 位址。請正確設定您的負載平衡器，以傳送用戶端 IP 位址。

我該如何封鎖 IP 位址？
請將已識別出的惡意 IP 位址新增至防火牆，或在 Exchange 中封鎖。

為何我未在此報告中看到任何項目？

'ADFSSignInLogs' Log Analytics 串流未在 [診斷設定] 中啟用。
失敗登入活動未超過閾值設定。
請確保在您的 AD FS 伺服器清單中沒有活躍的「健康服務未更新」警示。深入了解如何針對此警示進行疑難排解
AD FS 伺服器陣列中未啟用稽核。

共用方式為