IIS - Обнаружение логинов грубой силы и распыления паролей

TL; DR;

Какие методы используются для обнаружения брутфорса входа в систему и / или распыления пароля на веб-сайтах, размещенных в IIS (включая SharePoint, OWA и т. Д.)?

ModSecurity

Для решения этой проблемы существует множество инструментов для других операционных систем, главным из которых является ModSecurity . Хотя он был перенесен для поддержки IIS, он не интегрируется с IIS так же хорошо, как с другими платформами. Кроме того, я был бы удивлен, узнав о каких-либо реализациях SharePoint или OWA с использованием IIS ModSecurity. Если вы там, я рекомендую вам опубликовать здесь свою настройку.

Многофакторный или Captcha

Оба являются жизнеспособными вариантами предотвращения этих атак, но они не обязательно обнаруживают , а также приводят к сбоям следующими способами:

1. В процесс входа в систему для всех пользователей добавляются шаги только для того, чтобы заблокировать эти злоупотребления входом в систему от небольшой группы пользователей.
2. Некоторые реализации будут отображать дополнительный метод только после отправки удачной комбинации имени пользователя и пароля.

Прокси-сервер

Размещение аппаратного устройства или облачной службы перед пулом IIS является жизнеспособным вариантом. Однако многие идентифицируют вход методом грубой силы как последовательные запросы POST в течение короткого интервала времени, что может легко привести к ложным срабатываниям.

SIEM / Splunk

Централизованное ведение журнала работает, хотя оно может быть дорогостоящим как в денежном, так и в денежном отношении. а также время, потраченное на создание правил.

Ограничение скорости

В IIS есть модули, которые блокируют IP-адреса в зависимости от скорости соединения. Это не то же самое, что я спрашиваю, даже если технически эти попытки входа в систему вызовут фильтр скорости.