Logon de login sem nenhum aplicativo do cliente

Navegue suas respostas
1

Temos tido alguns problemas com nossos serviços do Office 365, especificamente o Exchange on-line. Alguns de nossos usuários estão sendo atacados por vários países em tentativas de acessar suas contas. Somos muito bons do ponto de vista da segurança (acho que ...) e temos as seguintes atenuações:

  • Nós passamos por autenticação (PTA)
  • Temos senhas complexas no lugar
  • Usamos o bloqueio de conta para impedir ataques de força bruta
  • Os usuários são protegidos pelo MFA
  • Utilizamos o acesso condicional para desativar a autenticação legada

Sei que todos os itens acima estão funcionando porque vejo, por exemplo, que coisas como o POP3 estão sendo bloqueadas pela Política de acesso condicional. No entanto, ainda estamos com bloqueios de conta e não podemos estabelecer o aplicativo / serviço específico que é a causa. Meu ponto de atendimento usual é o Log de Logon do Azure AD. A captura de tela abaixo mostra os logs filtrados para um único usuário e os logins com falha. Normalmente, o campo " Client App " fornece uma indicação do serviço ao qual o login foi anexado, mas seu espaço em branco (destacado em vermelho na captura de tela abaixo). Isso está acontecendo para vários usuários no meu locatário e, como não conseguimos ver / entender a causa, não podemos solucionar o problema. De uma maneira estranha, está se tornando um problema básico de DoS, pois os usuários estão sendo bloqueados e não conseguimos entender como. A Microsoft recomenda ativar o acesso condicional e bloquear a autenticação legada, mas já fizemos isso e parece que ainda está tendo problemas. Os outros têm esse problema e alguém tem algum conselho?

Veja a captura de tela da tela de registros

Atualização:

A desativação de POP3, IMAP e SMTP em cada caixa de correio parece estar ajudando. Eu usei o script a seguir para fazer isso em massa, pois temos um grande inquilino:

Lembre-se apenas das conseqüências se você usar este script do powershell, pois pode desativar recursos em contas que usam legitimamente POP3, IMAP e SMTP. Este script faz isso para todas as caixas de correio !!! 

$mailboxes = get-casmailbox
foreach($mailbox in $mailboxes){Set-CASMailbox $mailbox.id -SmtpClientAuthenticationDisabled $true -ImapEnabled $false -PopEnabled $False}
    
por Andrew Emmett 04.10.2018 / 11:12

1 resposta

0

@ Andrew-Emmett Você nunca parece fazer uma pergunta relacionada ao seu título, mas o que eu sugiro que você faça, se puder, é puxar os dados da API de gerenciamento do Office 365. Você precisará registrar um aplicativo no AAD para fazer isso, mas ele permitirá que você retenha os dados por mais tempo do que o retido pelo Office 365 e poderá desenvolver heurísticas a partir dos dados coletados. Você pode fazer isso com o PowerShell e armazená-lo em vários formulários, mas um deles é útil para colocá-lo em SQL.

Se você tiver flexibilidade, poderá usar um aplicativo da função do Azure para extrair os dados. Isso também fornecerá a você uma maneira de registrar o Aplicativo de Função como um Webhook em cada um dos 5 feeds que fazem parte da API para que, quando novos dados atingirem um feed, o Aplicativo de Função seja notificado para extrair os dados. Você também pode fazer algo semelhante com um aplicativo lógico.

    
por 10.10.2018 / 12:43

Tags

Produtos de escritório e “Dispositivos e impressoras” desligam, a menos que o spooler de impressão esteja desabilitado Retransmissão de backscatter do servidor mx de backup do Postfix causando spam (553 5.7.1)