A negociação SSL / TLS acontece dentro de https.sys
, fora do IIS. No momento em que o tráfego chega ao IIS, todo o trabalho relacionado à criptografia foi feito.
Não conheço nenhuma API que expõe o protocolo negociado a aplicativos baseados no IIS. Você sempre pode tentar pegá-lo de outra fonte, mas eu suspeito que isso vai ser duvidoso, na melhor das hipóteses.
O registro de eventos de sucesso do Schannel gerará eventos do evento ID 36880 que mostram os parâmetros negociados, mas a Microsoft não se incomodou em incluir o endereço IP do cliente nessas entradas de log (pelo menos, não que eu esteja vendo). (Isso teria sido bom, mas, mais uma vez, a Microsoft não se incomoda em incluir endereços IP em log de eventos ... Grrrr!)
Você pode executar uma captura de pacotes em um buffer de anel, procurando por negociações de SSL 2.0 e registrando-as em algum tipo de armazenamento persistente. Seu aplicativo pode consultar esse armazenamento, correlacionar o endereço IP do cliente ao log de negociação e seguir para o seu aviso. Eu suponho que é uma prática viável, mas isso realmente parece muito trabalho (e "partes móveis") para conseguir muito pouco. (Soa como algo divertido de escrever, embora ...)