危険な IP レポート

Active Directory Federation Services (AD FS) のお客様は、エンド ユーザーが Microsoft 365 などの SaaS アプリケーションにアクセスするための認証サービスを提供する目的で、パスワード認証エンドポイントをインターネットに公開する場合があります。

悪意のあるアクターが、AD FS システムへのログインを試行してエンド ユーザーのパスワードを推測し、アプリケーションのリソースにアクセスする可能性があります。 Windows Server 2012 R2 以降の AD FS では、そうした種類の攻撃を防止するためのエクストラネット アカウント ロックアウト機能が用意されています。 それよりも前のバージョンを使用している場合は、AD FS システムを Windows Server 2016 にアップグレードすることを強くお勧めします。

さらに、単一の IP アドレスから複数のユーザーに対して複数回のログイン試行が実行される可能性もあります。 このような場合は、ユーザーあたりの試行回数が AD FS のアカウント ロックアウト保護のしきい値に達していない可能性があります。

Microsoft Entra Connect Health では、この状態を検出し、管理者に通知するRisky IP レポート が提供されるようになりました。 次に、このレポートの使用による主な利点を示します。

  • 失敗したパスワードベースのログイン回数のしきい値を超える IP アドレスの検出
  • パスワードの間違いやエクストラネット ロックアウト状態の結果として失敗したログインのサポート
  • 管理者に警告する電子メール通知の提供 (電子メール設定はカスタマイズ可能)
  • 組織のセキュリティ ポリシーに適合するカスタマイズ可能なしきい値設定の提供
  • オフライン分析用にダウンロード可能なレポートと、自動化による別のシステムとの統合の提供

Note

このレポートを使用するには、AD FS 監査が有効になっている必要があります。 詳細については、「AD FS の監査の有効化」を参照してください。

このプレビュー リリースにアクセスするには、セキュリティ閲覧者のアクセス許可が必要です。  

レポートの内容について

失敗したサインイン アクティビティのクライアント IP アドレスが、Web アプリケーション プロキシ サーバーを通じて集計されます。 危険な IP のレポートの各項目は、指定されたしきい値を超える、失敗した AD FS サインイン アクティビティに関する集計情報を示しています。

このレポートには、次の情報が表示されます。

列見出しが強調表示されている危険な IP レポートを示すスクリーンショット。

レポート アイテム 説明
タイム スタンプ Microsoft Entra 管理センターの現地時間に基づく、検出時間枠の開始時刻のタイム スタンプ。
日単位のイベントは、すべて UTC 時間の午前 0 時に生成されます。
時間単位のイベントのタイム スタンプは、毎時 0 分の値に丸められます。 エクスポートしたファイルの "firstAuditTimestamp" から、最初のアクティビティの開始時刻がわかります。
トリガーの種類 検出時間枠の種類。 集計トリガーの種類は、"1 時間あたり" または "1 日あたり" です。 これらは、高頻度のブルートフォース攻撃と、試行回数が 1 日間で分散されるスロー攻撃を区別する際に役立ちます。
IP アドレス (IP address) 間違ったパスワードまたはエクストラネット ロックアウト サインイン アクティビティが発生した単一の危険な IP アドレス。 IPv4 アドレスまたは IPv6 アドレスのどちらかになります。
間違ったパスワードのエラー回数 検出時間枠の間に、特定の IP アドレスで発生した間違ったパスワード エラーの数。 間違ったパスワード エラーは、特定のユーザーで複数回発生する可能性があります。 : この数には、パスワードの有効期限が切れていた結果として失敗した試行は含まれません。
エクストラネット ロックアウト エラーの回数 検出時間枠の間に特定の IP アドレスで発生したエクストラネット ロックアウト エラーの回数。 エクストラネット ロックアウト エラーは、特定のユーザーで複数回発生する可能性があります。 この数は、エクストラネット ロックアウトが AD FS (バージョン 2012R2 以降) で構成されている場合にのみ表示されます。 : パスワードを使用するエクストラネット ログインを許可する場合は、この機能を有効にすることを強くお勧めします。
試行した一意のユーザー 検出時間枠の間に特定の IP アドレスでログインが試行された、一意のユーザー アカウントの数。 単一ユーザーの攻撃パターンと複数ユーザーの攻撃パターンを区別します。

たとえば、次のレポート アイテムは、2018 年 2 月 28 日の午後 6 時から午後 7 時までの間に、IP アドレス 104.2XX.2XX.9 で間違ったパスワード エラーがなかったことと、284 回のエクストラネット ロックアウト エラーがあったことを示しています。 この条件で影響を受けた一意のユーザーは 14 名でした。 このアクティビティ イベントは、指定されているレポートの時間単位のしきい値を超えています。

危険な IP のレポートのエントリ例を示すスクリーンショット。

Note

  • レポートのリストには、指定のしきい値を超えたアクティビティのみが表示されます。
  • このレポートは、最長で過去 30 日間を追跡します。
  • このアラート レポートには、Exchange IP アドレスやプライベート IP アドレスは表示されません。 ただし、エクスポートした一覧にはこれらのアドレスが含まれます。

[ダウンロード]、[通知の設定]、[しきい値の設定] ボタンが強調表示されている危険な IP レポートを示すスクリーンショット。

一覧のロード バランサーの IP アドレス

ロード バランサーの集計が失敗したことで、アラートのしきい値に達した可能性があります。 ロード バランサーの IP アドレスが表示されている場合は、外部のロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くあります。 ロード バランサーを適切に構成して、クライアント IP アドレスを渡すようにしてください。

危険な IP レポートのダウンロード

ダウンロード機能を使用すると、過去 30 日間の危険な IP アドレス一覧全体を Connect Health ポータルからエクスポートできます。 エクスポートの結果には、失敗したすべての AD FS サインイン アクティビティが各検出時間枠に含められるため、エクスポート後にフィルター処理をカスタマイズできます。 エクスポート結果には、ポータルの強調表示された集計のほかに、失敗したサインイン アクティビティの詳細が IP アドレスごとに示されます。

レポート アイテム 説明
firstAuditTimestamp 検出時間枠中に失敗したアクティビティの開始時刻を示す、最初のタイムスタンプ。
lastAuditTimestamp 検出時間枠中に失敗したアクティビティの終了時刻を示す、最後のタイムスタンプ。
attemptCountThresholdIsExceeded 現在のアクティビティがアラートしきい値を超えているかどうかを示すフラグ。
isWhitelistedIpAddress IP アドレスがアラートおよびレポート用にフィルター処理されているかどうかを示すフラグ。 プライベート IP アドレス (10.x.x.x, 172.x.x.x および 192.168.x.x) と Exchange IP アドレスは、フィルター処理され、True のマークが付けらます。 プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くあります。

通知設定を構成する

レポートの管理者連絡先は、[通知の設定] から更新できます。 既定では、危険な IP アラートの電子メール通知はオフの状態になっています。 [アクティビティ失敗のしきい値を超えている IP アドレスのレポートの通知を電子メールで受け取ります] レポートの下にあるボタンを切り替えることで、通知を有効にすることができます。

Connect Health の全般的なアラート通知設定と同様に、危険な IP レポートに関する指定の通知受信者リストは、ここからカスタマイズできます。 その変更と同時に、すべてのハイブリッド ID 管理者に通知することもできます。

しきい値設定の構成

アラートのしきい値は、[しきい値の設定] で更新できます。 システムしきい値は既定値で設定されています。これについては、次のスクリーンショットで示し、表で説明しています。

危険な IP レポートのしきい値設定は、4 つのカテゴリに分かれています。

しきい値の設定の 4 つのカテゴリとその既定値を示す Microsoft Entra Connect Health ポータルのスクリーンショット。

しきい値の設定 説明
(不良 U/P + エクストラネットのロックアウト) / 日 間違ったパスワードの回数とエクストラネット ロックアウトの回数の合計が 1 日あたりのしきい値を超えたときに、アクティビティをレポートし、アラート通知をトリガーします。 既定値は 100 です。
(不良 U/P + エクストラネットのロックアウト) / 時間 間違ったパスワードの回数とエクストラネット ロックアウトの回数の合計が 1 時間あたりのしきい値を超えたときに、アクティビティをレポートし、アラート通知をトリガーします。 既定値は 50 です。
エクストラネットのロックアウト / 日 エクストラネット ロックアウトの回数が 1 日あたりのしきい値を超えたときに、アクティビティをレポートし、アラート通知をトリガーします。 既定値は 50 です。
エクストラネットのロックアウト / 時間 エクストラネット ロックアウトの回数が 1 時間あたりのしきい値を超えたときに、アクティビティをレポートし、アラート通知をトリガーします。 既定値は 25 です。

Note

  • レポートのしきい値の変更は、設定変更の 1 時間後に適用されます。
  • 既にレポートされている項目は、しきい値の変更の影響を受けません。
  • 対象の環境内でレポートされるイベントの数を分析して、適切にしきい値を調整するようにお勧めします。

よく寄せられる質問

レポートにプライベート IP アドレス範囲が表示されるのはなぜですか?

プライベート IP アドレス (10.x.x.x, 172.x.x.x および 192.168.x.x) と Exchange IP アドレスは、フィルター処理され、IP 承認済みリストでは True とマークされます。 プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くあります。

レポートにロード バランサーの IP アドレスが表示されるのはなぜですか?

ロード バランサーの IP アドレスが表示されている場合は、外部のロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くあります。 ロード バランサーを適切に構成して、クライアント IP アドレスを渡すようにしてください。

IP アドレスをブロックするにはどうすればよいですか?

特定した悪意のある IP アドレスは、ファイアウォールに追加するか、Exchange でブロックする必要があります。

このレポートに項目が表示されないのはなぜですか?

  • 失敗したサインイン アクティビティが、しきい値の設定を超えていません。
  • AD FS サーバーのリストで "Health Service が最新ではありません" アラートがアクティブになっていないことを確認します。 このアラートのトラブルシューティングを行う方法を確認してください。
  • AD FS ファームで監査が有効になっていません。

レポートにアクセスできないのはなぜですか?

セキュリティ閲覧者のアクセス許可が必要です。

次のステップ