我们在SIEM日志中观察到多个windows登录失败。我们使用SSO、ADFS。用户处于非活动状态或正常使用状态。已清除用户缓存。日志持续存在。
•用户通过SSO正常登录ADFS受信任的SaaS应用程序,而非活动用户则没有,但日志仍然显示多个Windows登录问题。这无疑意味着有人试图通过一系列暴力攻击来破坏您的服务器并破坏您的域环境。您的ADFS WAP服务器可能会暴露在互联网上,并将处于防火墙保护之外的DMZ中,因此受到威胁。请确保除了来自互联网的入站连接中的端口443外,所有端口都已打开,而ADFS和ADFS WAP服务器之间只允许使用所需的ADFS端口,否则所有端口都被阻止通信。此外,用于通过SMB映射文件共享的端口445在ADFS基础设施上是不允许的。
•请使用4625检查事件日志ID,因为它们可能代表外国攻击者的IP地址,您应该立即阻止该地址并将其列入防火墙的黑名单。您还应该使用内置的windows防火墙和日志记录设置。日志将告诉您所有传入和传出请求的地址。此外,请使用入侵检测和防御系统来提醒、阻止和攻击,并在将来保存您的服务器。