我们在 Exchange 本地部署 2016 中配置了 Azure MFA。不幸的是,使用旧的电子邮件客户端(例如 Outlook 2010)可以轻松绕过 MFA 控制。这是一个已知问题,升级是自然途径。在我们走上这条路之前,我想知道这是否是一种检测这些基本身份验证尝试的方法。
非常感谢
答案1
我最终使用 Splunk 来索引 WinHttp Exchange 日志。我必须为位于 [Exchange 安装驱动器]:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi 的日志文件创建源类型。
索引 = msexchange 源类型 = MSExchange:2016:WinHttp 主机 = XXXXXXXX AuthMethod = Bearer | 统计计数(_time)作为总连接数,最早(_time)作为 lastcon,值(UserAgent)作为 UserAgents 按 UserSID | eval last_connection = strftime(lastcon,“%Y%m%d”)| 表 UserSID、last_connection、UserAgents、totalConnections