Журналы входа без клиентского приложения
У нас возникли проблемы с нашими службами Office 365, в частности с Exchange Online. Некоторые из наших пользователей подвергаются атакам из разных стран, пытаясь проникнуть в их учетные записи. Мы довольно хороши с точки зрения безопасности (я думаю ...) и имеем следующие меры по смягчению последствий:
- Мы используем сквозную аутентификацию (PTA)
- У нас есть сложные пароли
- Мы используем блокировку учетной записи чтобы остановить атаки методом грубой силы
- Пользователи защищены с помощью MFA
- Мы используем условный доступ для отключения устаревшей аутентификации
Я знаю, что все вышеперечисленное работает, потому что я вижу, например, что такие вещи, как POP3, блокируются Политика условного доступа. Однако мы по-прежнему сталкиваемся с блокировкой учетных записей, и я не могу установить конкретное приложение / службу, которая является причиной. Мой обычный порт захода - журналы входа в Azure AD. На приведенном ниже снимке экрана показаны журналы, отфильтрованные для одного пользователя, и неудачные попытки входа в систему. Обычно поле « Клиентское приложение » указывает, к какой службе был подключен вход, но оно пустое (выделено красным на снимке экрана ниже). Это происходит с несколькими пользователями в моем клиенте, и поскольку мы не можем увидеть / понять причину, мы не можем устранить неполадки. Как ни странно, это становится основной проблемой DoS, поскольку пользователи блокируются, и мы не можем понять, как это сделать. Microsoft рекомендует включить условный доступ и заблокировать устаревшую аутентификацию, но мы уже сделали это и, похоже, по-прежнему возникают проблемы. У других есть эта проблема и есть ли какой-нибудь совет?
См. Снимок экрана с журналами.
Обновление:
Отключение POP3, IMAP и SMTP для каждого почтового ящика, кажется, помогает. Я использовал следующий сценарий, чтобы сделать это в большом количестве, поскольку у нас довольно большой клиент:
Просто помните о последствиях использования этого сценария PowerShell, поскольку вы можете отключить функции в учетных записях, которые законно используют POP 3, IMAP и SMTP. Этот скрипт делает это для всех почтовых ящиков !!!
$mailboxes = get-casmailbox
foreach($mailbox in $mailboxes){Set-CASMailbox $mailbox.id -SmtpClientAuthenticationDisabled $true -ImapEnabled $false -PopEnabled $False}
@ Andrew-Emmett Похоже, вы никогда не задаете вопрос, связанный с заголовком вашего сообщения, но что я бы посоветовал вам сделать, если вы можете, это потянуть данные из API управления Office 365. Для этого вам нужно будет зарегистрировать приложение в AAD, но это позволит вам хранить данные дольше, чем они хранятся в Office 365, и вы можете разработать эвристику на основе собранных данных. Вы можете сделать это с помощью PowerShell, и вы можете хранить его в бесчисленных формах, но одна из полезных может заключаться в том, чтобы поместить его в SQL.
Если у вас есть гибкость, вы можете использовать приложение-функцию Azure для извлечения данных. Это также предоставит вам способ зарегистрировать приложение-функцию в качестве веб-перехватчика в каждом из 5 каналов, которые являются частью API, чтобы при попадании в канал новых данных приложение-функция получало уведомление о необходимости извлечения данных. Вы также можете сделать нечто подобное с помощью приложения логики.