Riskli IP raporu

  • Makale

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) müşterileri, son kullanıcıların Microsoft 365 gibi SaaS uygulamalarına erişmesi için kimlik doğrulama hizmetleri sağlamak üzere parola kimlik doğrulama uç noktalarını İnternet'te kullanıma sunabilir.

Kötü bir aktörün, son kullanıcının parolasını tahmin etmek ve uygulama kaynaklarına erişmek için AD FS sisteminizde oturum açmayı denemesi mümkündür. Windows Server 2012 R2 itibarıyla AD FS, bu tür saldırıları önlemek için extranet hesabı kilitleme işlevselliği sağlar. Önceki bir sürüm kullanıyorsanız, AD FS sisteminizi Windows Server 2016'ya yükseltmenizi kesinlikle öneririz.

Ayrıca, tek bir IP adresinin birden çok kullanıcı için birden çok oturum açmayı denemesi de mümkündür. Böyle durumlarda, kullanıcı başına deneme sayısı AD FS'de hesap kilitleme koruması eşiğinin altında olabilir.

Microsoft Entra Connect Health artık bu koşulu algılayan ve yöneticilere bildirimde bulunan Riskli IP raporunu sağlar. Bu raporu kullanmanın başlıca avantajları şunlardır:

  • Başarısız parola tabanlı oturum açma eşiğini aşan IP adreslerini algılar
  • Hatalı parola veya extranet kilitleme durumundan kaynaklanan başarısız oturum açmaları destekler
  • Özelleştirilebilir e-posta ayarlarıyla uyarı yöneticilerine e-posta bildirimleri sağlar
  • Bir kuruluşun güvenlik ilkesiyle eşleşen özelleştirilebilir eşik ayarları sağlar
  • Otomasyon aracılığıyla çevrimdışı analiz ve diğer sistemlerle tümleştirme için indirilebilir raporlar sağlar

Not

Bu raporu kullanmak için AD FS denetiminin etkinleştirildiğinden emin olmanız gerekir. Daha fazla bilgi için bkz . AD FS için denetimi etkinleştirme.

Bu önizleme sürümüne erişmek için Güvenlik Okuyucusu izinlerine sahip olmanız gerekir.  

Raporda ne var?

Başarısız oturum açma etkinliği istemci IP adresleri Web Uygulama Ara Sunucusu sunucuları aracılığıyla toplanır. Riskli IP raporundaki her öğe, belirlenen eşiği aşan başarısız AD FS oturum açma etkinlikleri hakkında toplu bilgileri gösterir.

Rapor aşağıdaki bilgileri sağlar:

Sütun başlıklarının vurgulandığı Riskli IP raporunu gösteren ekran görüntüsü.

Rapor öğesi Açıklama
Zaman Damgası Algılama zamanı penceresi başlatıldığında Microsoft Entra yönetim merkezi yerel saatini temel alan zaman damgası.
Tüm günlük olaylar UTC saatinde gece yarısı oluşturulur.
Saatlik olaylar, saatin başına yuvarlanan zaman damgasına sahiptir. "firstAuditTimestamp" adlı ilk etkinlik başlangıç zamanını dışarı aktarılan dosyada bulabilirsiniz.
Tetikleyici Türü Algılama zaman penceresinin türü. Toplama tetikleyicisi türleri saat veya gün başına olur. Yüksek frekanslı deneme yanılma saldırısı ile deneme sayısının gün boyunca dağıtıldığı yavaş bir saldırı arasında ayrım yapmaya yardımcı olur.
IP Adresi Hatalı parola veya extranet kilitleme oturum açma etkinlikleri olan tek riskli IP adresi. IPv4 veya IPv6 adresi olabilir.
Hatalı Parola Hata Sayısı Algılama zaman penceresi sırasında IP adresinden oluşan hatalı parola hatalarının sayısı. Hatalı parola hataları belirli kullanıcılara birden çok kez oluşabilir. Not: Bu sayı, süresi dolan parolalardan kaynaklanan başarısız denemeleri içermez.
Extranet Kilitleme Hata Sayısı Algılama zaman penceresi sırasında IP adresinden oluşan extranet kilitleme hatalarının sayısı. Extranet kilitleme hataları belirli kullanıcılara birden çok kez gerçekleşebilir. Bu sayı yalnızca Ad FS'de Extranet Kilitlemesi yapılandırıldığında görüntülenir (sürüm 2012R2 ve üzeri). Not: Parola kullanan extranet oturum açma işlemlerine izin verirseniz bu özelliği etkinleştirmenizi kesinlikle öneririz.
Denenen Benzersiz Kullanıcılar Algılama zamanı penceresinde IP adresinden denenen benzersiz kullanıcı hesaplarının sayısı. Tek bir kullanıcı saldırı düzeni ile çok kullanıcılı saldırı deseni arasında ayrımlar.

Örneğin, aşağıdaki rapor öğesi 28 Şubat 2018'de 18:00 ile 19:00 arası penceresinde 104.2XX.2XX.9 IP adresinde hatalı parola hatası olmadığını ve 284 extranet kilitleme hatası olmadığını gösterir. Ölçütler içinde on dört benzersiz kullanıcı etkilendi. Etkinlik olayı, belirlenen raporun saatlik eşiğini aştı.

Riskli IP raporu girdisi örneğini gösteren ekran görüntüsü.

Not

  • Rapor listesinde yalnızca belirlenen eşiği aşan etkinlikler görüntülenir.
  • Bu rapor en fazla son 30 günü izler.
  • Bu uyarı raporu Exchange IP adreslerini veya özel IP adreslerini göstermez. Bunlar yine de dışarı aktarma listesine eklenir.

İndirme, Bildirim Ayarları ve Eşik Ayarları düğmelerinin vurgulandığı Riskli IP raporunu gösteren ekran görüntüsü.

Listedeki yük dengeleyici IP adresleri

Yük dengeleyici toplama işleminiz başarısız olduğundan uyarı eşiğine ulaşmasını sağlayın. Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. İstemci IP adresini iletmek için yük dengeleyicinizi doğru yapılandırın.

Riskli IP raporunu indirme

İndirme işlevi kullanılarak, son 30 gün içindeki riskli IP adresi listesinin tamamı Connect Health Portalı'ndan dışarı aktarılabilir. Dışarı aktarma sonucu, her algılama zamanı penceresindeki tüm başarısız AD FS oturum açma etkinliklerini içerir, böylece dışarı aktarmadan sonra filtrelemeyi özelleştirebilirsiniz. Portalda vurgulanan toplamaların yanı sıra, dışarı aktarma sonucu IP adresi başına başarısız oturum açma etkinlikleri hakkında daha fazla ayrıntı da gösterir:

Rapor Öğesi Açıklama
firstAuditTimestamp Algılama zaman penceresi sırasında başarısız etkinliklerin başlatıldığında ilk zaman damgası.
lastAuditTimestamp Algılama zaman penceresi sırasında başarısız etkinliklerin sona erdiğinde son zaman damgası.
attemptCountThresholdIsExceededed Geçerli etkinlikler uyarı eşiğini aşıyorsa bayrağı.
isWhitelistedIpAddress IP adresinin uyarı ve raporlamadan filtrelenip filtrelenmediğini belirten bayrak. Özel IP adresleri (10.x.x.x, 172.x.x.x ve 192.168.x.x) ve Exchange IP adresleri filtrelenir ve True olarak işaretlenir. Özel IP adresi aralıkları görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir.

Bildirim ayarlarını yapılandırma

Bildirim Ayarları aracılığıyla raporun yönetici kişilerini güncelleştirebilirsiniz. Varsayılan olarak, riskli IP uyarısı e-posta bildirimi kapalı durumdadır. Başarısız etkinlik eşiği raporunu aşan IP adresleri için e-posta bildirimleri al altındaki düğmeyi açarak bildirimi etkinleştirebilirsiniz.

Connect Health'teki genel uyarı bildirimi ayarları gibi, riskli IP raporuyla ilgili belirlenen bildirim alıcı listesini buradan özelleştirmenize olanak tanır. Değişikliği yaparken tüm Karma Kimlik Yöneticilerine de bildirimde bulunabilirsiniz.

Eşik ayarlarını yapılandırma

Eşik Ayarları'nda uyarı eşiğini güncelleştirebilirsiniz. Sistem eşiği, aşağıdaki ekran görüntüsünde gösterilen ve tabloda açıklanan varsayılan değerlerle ayarlanır.

Risk IP raporu eşik ayarları dört kategoriye ayrılır.

Eşik ayarlarının dört kategorisini ve bunların varsayılan değerlerini gösteren Microsoft Entra Connect Health Portalı'nın ekran görüntüsü.

Eşik ayarı Açıklama
(Hatalı U/P + Extranet Kilitleme) / Gün Etkinliği raporlar ve Hatalı Parola sayısı ile Extranet Kilitleme sayısı günde eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 100'dür.
(Hatalı U/P + Extranet Kilitleme) / Saat Etkinliği raporlar ve Hatalı Parola sayısı ile Extranet Kilitleme sayısı saat başına eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 50'dir.
Extranet Kilitleme / Gün Etkinliği raporlar ve Extranet Kilitleme sayısı günde eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 50'dir.
Extranet Kilitleme / Saat Etkinliği raporlar ve Extranet Kilitleme sayısı saat başına eşiği aştığında bir uyarı bildirimi tetikler. Varsayılan değer 25'tir.

Not

  • Rapor eşiğinin değiştirilmesi, ayar değişikliğinden bir saat sonra uygulanır.
  • Bildirilen mevcut öğeler eşik değişikliğinden etkilenmez.
  • Ortamınızda bildirilen olay sayısını analiz edip eşiği uygun şekilde ayarlamanızı öneririz.

SSS

Raporda neden özel IP adresi aralıkları görüyorum?

Özel IP adresleri (10.x.x.x, 172.x.x.x ve 192.168.x.x) ve Exchange IP adresleri, IP onaylı listesinde filtrelenir ve True olarak işaretlenir. Özel IP adresi aralıkları görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir.

Neden raporda yük dengeleyici IP adreslerini görüyorum?

Yük dengeleyici IP adresleri görüyorsanız, dış yük dengeleyicinizin isteği Web Uygulama Ara Sunucusu sunucusuna geçirdiğinde istemci IP adresini göndermeme olasılığı yüksektir. İstemci IP adresini iletmek için yük dengeleyicinizi doğru yapılandırın.

IP adresini nasıl engelleyebilirim?

Tanımlanan kötü amaçlı IP adresini güvenlik duvarına eklemeniz veya Exchange'de engellemeniz gerekir.

Bu rapordaki öğeleri neden göremiyorum?

  • Başarısız oturum açma etkinlikleri eşik ayarlarını aşmıyor.
  • AD FS sunucu listenizde "Sistem sağlığı hizmeti güncel değil" uyarısının etkin olmadığından emin olun. Bu uyarının sorunlarını giderme hakkında daha fazla bilgi edinin.
  • AD FS gruplarında denetimler etkinleştirilmez.

Rapora neden erişemiyorum?

Güvenlik Okuyucusu izinlerine sahip olmanız gerekir.

Sonraki adımlar