Bedrohungsereignisse
IBM® Verify erzeugt Warnmeldungen, um festzustellen, ob der Datenverkehr verdächtig ist. Außerdem enthält es Einzelheiten zu proaktiven Abhilfemaßnahmen für den Fall, dass der Datenverkehr als verdächtig eingestuft wird.
IBM Verify erzeugt die folgenden Arten von Warnmeldungen.
Möglicher Credential-Stuffing-Angriff (PCS)
Diese Warnung weist auf einen möglichen Credential-Stuffing-Angriff hin. Es wurde ein plötzlicher Anstieg der Fehlversuche bei der Eingabe von Benutzernamen und Passwörtern festgestellt. Das Aktivitätsniveau wird mit dem normalen SSO-Verhalten oder den Authentifizierungsereignissen der letzten 14 Tage verglichen. Die Warnmeldung enthält Angaben zu allen verdächtigen IP-Adressen, die während des Angriffs festgestellt wurden.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Erstellen Sie eine Liste verdächtiger IP-Adressen und prüfen Sie, ob von diesen IP-Adressen aus Anmeldeversuche erfolgreich waren |
|
| Den Schweregrad der Warnmeldung ermitteln |
|
| Weitere Informationen zur Ursache der Fehler abrufen | top5_affected_data_cause |
| Betroffene Benutzernamen ermitteln | top5_affected_data_username zeigt die fünf Konten, die während des Angriffs am häufigsten genutzt werden. |
| Stellen Sie fest, ob von verdächtigen IP-Adressen aus erfolgreich auf ein Konto zugegriffen wurde | compromised_users |
| Ermitteln Sie die betroffene Anwendung | top5_affected_data_applicationname |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 14 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
- Einige bekannte Analysemuster
- Liste anzeigen
xfe_confirmed_malicious_ips. Wird in dieser Kategorie eine IP-Adresse gefunden, kann diese direkt gesperrt oder als Angriff mit hoher Wahrscheinlichkeit gemeldet werden. - Sehen Sie sich die IP-Statistiken in
suspicious_ipsder Liste an.- Wenn die meisten Fehlermeldungen von einer einzigen IP-Adresse stammen und die übrigen alle eine geringere Anzahl an Fehlermeldungen aufweisen, könnte jemand ein Skript oder eine Anwendung ausgeführt haben, wobei ein falscher Benutzername oder ein falsches Passwort konfiguriert wurde (Ermitteln Sie die gültigen Benutzernamen, auf die von dieser IP-Adresse aus zugegriffen wurde). Prüfen Sie außerdem die Ursache des Fehlers und
top5_affected_data_applicationnameob es sich um eines der bekannten Probleme handelt. - Wenn mehrere IP-Adressen in der Liste der verdächtigen IP-Adressen eine hohe Fehlerquote aufweisen, handelt es sich höchstwahrscheinlich um einen Angriff. Ermitteln Sie die IP-Adressen
top5_geoip_country_namein der Warnmeldung sowie die Verteilung nach Land und Benutzernamen für die IP-Adressen, bei denen ein hoher Ausfallanteil vermutet wird, jeweils einzeln. - Wenn die Fehler bei einer bestimmten Anwendung auftreten, könnte dies an einer fehlerhaften Konfiguration der Anwendung liegen. Erkundigen Sie sich beim Verantwortlichen für die Anwendung.
- Wenn die meisten Fehlermeldungen von einer einzigen IP-Adresse stammen und die übrigen alle eine geringere Anzahl an Fehlermeldungen aufweisen, könnte jemand ein Skript oder eine Anwendung ausgeführt haben, wobei ein falscher Benutzername oder ein falsches Passwort konfiguriert wurde (Ermitteln Sie die gültigen Benutzernamen, auf die von dieser IP-Adresse aus zugegriffen wurde). Prüfen Sie außerdem die Ursache des Fehlers und
- Wenn bei Authentifizierungsereignissen die meisten Fehlerursachen Zeichenfolgen wie
INVALID_CREDSenthalten, könnte es sich um einen Angriff handeln.
- Liste anzeigen
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr. Stellen Sie fest, ob der Datenverkehr mit fehlgeschlagenen Anmeldeversuchen (Benutzername oder Passwort) zunimmt.
- Sollte sich herausstellen, dass es sich um einen Angriff handelt, blockieren Sie die IP-Adressen im
anomalous_suspicious_ipsAttribut. - Konten, bei denen eine Anmeldung von verdächtigen IP-Adressen aus erfolgreich war, sind möglicherweise kompromittiert. Die möglicherweise kompromittierten Benutzernamen, die zu den einzelnen verdächtigen IP-Adressen gehören, finden Sie im
compromised_usersAttribut. Entscheiden Sie bei kompromittierten Konten, ob Sie die Passwörter zurücksetzen oder diese Konten deaktivieren möchten.
- Beispielalarm
{ "rule_id": "CREDENTIAL_STUFFING_SSO", "rule_name": "Potential credential stuffing attack (SSO)", "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 31348, "normal_traffic_volume": 1004, "start_time": 1669222800000, "end_time": 1669226400000, "date": "2022-11-23", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 32090, "impacted_apps_count": 5, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]", "anomalous_suspicious_ips": [ "169.50.223.22", "169.50.223.24", "169.59.129.116", "169.59.129.120", "52.117.163.162" ], "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}", "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.", "xfe_confirmed_malicious_ips": ['52.117.163.162'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 32352}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 32352}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid': 32352}", "most_significant_data_scope": [ "openid" ], "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}", "most_significant_data_cause": [ "CSIAQ0264E The user name or password is invalid." ], "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_applicationname": [ "urx_next" ], "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_client_name": [ "urx_next" ], "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}", "most_significant_data_redirecturl": [ "UNKNOWN" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}", "most_significant_data_username": [ "wsa@ibm.com" ], "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}", "most_significant_geoip_country_name": [ "United States" ] }
Mehrere fehlgeschlagene Anmeldeversuche von dieser IP-Adresse
Diese Warnmeldung weist auf einen Brute-Force- oder einen Credential-Stuffing-Angriff hin. Es wurde ein plötzlicher Anstieg fehlgeschlagener Anmeldeversuche von einer IP-Adresse festgestellt. Das Aktivitätsniveau wird mit dem normalen SSO-Verhalten oder den Authentifizierungsereignissen der letzten 7 Tage verglichen.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Erstellen Sie eine Liste verdächtiger IP-Adressen und prüfen Sie, ob von diesen IP-Adressen aus Anmeldeversuche erfolgreich waren |
|
| Den Schweregrad der Warnmeldung ermitteln |
|
| Informationen zur Ursache von Fehlern abrufen | top5_affected_data_cause hilft dabei festzustellen, ob Störungen auf betriebliche Probleme zurückzuführen sind. |
| Betroffene Benutzernamen ermitteln | top5_affected_data_username zeigt die fünf Konten, die während des Angriffs am häufigsten genutzt werden. |
| Stellen Sie fest, ob von verdächtigen IP-Adressen aus erfolgreich auf ein Konto zugegriffen wurde | compromised_users |
| Ermitteln Sie die betroffene Anwendung | top5_affected_data_applicationname |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 7 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
Überprüfen Sie zusätzlich zu den bereits genannten Untersuchungskriterien und Merkmalen die folgenden Angaben:
|
|
- Einige bekannte Analysemuster
- Liste prüfen
xfe_confirmed_malicious_ips; falls ein Treffer gefunden wird, diese IP-Adresse sperren. top5_affected_data_causeÜberprüfen Sie die Anzahl der Warnmeldungen zu wiederholten fehlgeschlagenen Anmeldeversuchen, die in dieser Stunde generiert wurden, und identifizieren Sie dann,top5_affected_data_applicationname, undtop5_affected_data_username.- Wenn der Datenverkehr von einer bestimmten Anwendung und einem bestimmten Benutzer stammt, hat vielleicht jemand die falschen Anmeldedaten eingegeben und ein Skript ausgeführt. Überprüfen Sie, ob es sich um legitimen Datenverkehr handelt oder nicht.
- Wenn der Datenverkehr von mehreren Nutzern stammt – blockiere die IP-Adresse (es sei denn, es handelt sich um eine VPN- oder Proxy-IP-Adresse). Wenn es sich bei der IP-Adresse um eine VPN- oder Proxy-IP handelt, überprüfen
top5_affected_data_causeSie, ob dies auf betriebliche Probleme zurückzuführen ist. - Wenn innerhalb einer Stunde mehrere Warnmeldungen auftreten, identifizieren
top5_affected_tenantnameSie diese undtop5_affected_data_usernamegehen Sie für jede einzelne vor. Wenn mehrere IP-Adressen die meisten Fehler für einen einzelnen Mandanten und von mehreren Benutzern aufweisen, kann es sich möglicherweise um einen Angriff oder einen schwerwiegenden Anwendungs- oder Systemausfall handeln.
- Liste prüfen
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr, um festzustellen, ob die Ausfälle abnehmen oder zunehmen.
- Sollte sich herausstellen, dass es sich um einen Angriff handelt, blockieren Sie die IP-Adressen im
anomalous_suspicious_ipsAttribut. - Konten, bei denen eine Anmeldung von verdächtigen IP-Adressen aus erfolgreich war, sind möglicherweise kompromittiert. Die möglicherweise kompromittierten Benutzernamen, die zu den einzelnen verdächtigen IP-Adressen gehören, finden Sie im
compromised_usersAttribut. Entscheiden Sie bei kompromittierten Konten, ob Sie die Passwörter zurücksetzen oder diese Konten deaktivieren möchten.
- Beispielalarm
{ "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH", "rule_name": "Multiple failed login from an IP address (Auth)", "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.", "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 5597, "normal_traffic_volume": 0, "start_time": 1673370000000, "end_time": 1673373600000, "date": "2023-01-10", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 17, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]", "anomalous_suspicious_ips": [ "165.155.173.54" ], "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}", "xfe_threat_insight": "Found 0 known malicious IPs.", "xfe_confirmed_malicious_ips": [], ], "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}", "most_significant_tenantname": [ "idpcloud.nycenet.edu" ], "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}", "most_significant_data_cause": [ "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"." ], "top5_affected_data_sourcetype": "{'clouddirectory': 5596}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{'SMS OTP': 1}", "most_significant_data_mfamethod": [ "SMS OTP" ], "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}", "most_significant_data_username": [ "aari" ], "top5_affected_geoip_country_name": "{'United States': 5597}", "most_significant_geoip_country_name": [ "United States" ] }
Pro Mandant wurde eine ungewöhnlich hohe Anzahl fehlgeschlagener SSO-/Authentifizierungsvorgänge festgestellt
Diese Warnmeldung weist entweder auf einen Brute-Force- oder einen Credential-Stuffing-Angriff oder auf betriebliche Probleme hin.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Erstellen Sie eine Liste verdächtiger IP-Adressen und prüfen Sie, ob von diesen IP-Adressen aus Anmeldeversuche erfolgreich waren |
|
| Den Schweregrad der Warnmeldung ermitteln |
|
| Informationen zur Ursache von Fehlern abrufen | top5_affected_data_cause hilft dabei festzustellen, ob Störungen auf betriebliche Probleme zurückzuführen sind. |
| Betroffene Benutzernamen ermitteln | top5_affected_data_username zeigt die fünf Konten, die während des Angriffs am häufigsten genutzt werden. |
| Ermitteln Sie die betroffene Anwendung | top5_affected_data_applicationname |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 14 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
Überprüfen Sie zusätzlich zu den bereits genannten Untersuchungskriterien und Merkmalen die folgenden Angaben:
|
|
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr, um festzustellen, ob die Ausfälle abnehmen oder zunehmen.
- Sollte sich herausstellen, dass es sich um einen Angriff handelt, blockieren Sie die IP-Adressen im
anomalous_suspicious_ipsAttribut. - Konten, bei denen eine Anmeldung von verdächtigen IP-Adressen aus erfolgreich war, sind möglicherweise kompromittiert. Die möglicherweise kompromittierten Benutzernamen, die zu den einzelnen verdächtigen IP-Adressen gehören, finden Sie im
compromised_usersAttribut. Entscheiden Sie bei kompromittierten Konten, ob Sie die Passwörter zurücksetzen oder diese Konten deaktivieren möchten.
- Beispielalarm
{ "rule_id": "TENANT_FAILED_SSO_EVENTS", "rule_name": "Abnormal number of failed SSO events observed per tenant.", "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 24456, "normal_traffic_volume": 711, "start_time": 1671444000000, "end_time": 1671447600000, "date": "2022-12-19", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 88, "impacted_apps_count": 37, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], ['122.161.79.4', 100.0, 11, 0]]", "anomalous_suspicious_ips": [ "122.161.79.4", "177.241.73.204", "89.64.54.76" ], "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`", "xfe_confirmed_malicious_ips": ['122.161.79.4'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 25167}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 25167}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}", "most_significant_data_scope": [ "openid email" ], "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}", "most_significant_data_cause": [ "CSIAQ0178E Login is required. The request cannot be processed without authentication." ], "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}", "most_significant_data_applicationname": [ "Gaz-HAT-Production" ], "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}", "most_significant_data_client_name": [ "Gaz-HAT-Production" ], "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}", "most_significant_data_redirecturl": [ "https://gaz.tuc.stglabs.ibm.com/oidc/callback/" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}", "most_significant_data_username": [ "UNKNOWN" ], "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}", "most_significant_geoip_country_name": [ "Mexico" ] }
Häufige Authentifizierung durch einen einzelnen Benutzer
Diese Warnmeldung weist entweder auf einen Brute-Force- oder einen Credential-Stuffing-Angriff oder auf betriebliche Probleme hin.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Den Schweregrad der Warnmeldung ermitteln |
|
| Betroffene Benutzernamen ermitteln | top5_affected_data_username zeigt die fünf Konten, die während des Angriffs am häufigsten genutzt werden. |
| Ermitteln Sie die betroffene Anwendung | top5_affected_data_applicationname |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 7 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
Überprüfen Sie zusätzlich zu den bereits genannten Untersuchungskriterien und Merkmalen die folgenden Angaben:
|
|
- Einige bekannte Analysemuster
- Stellen Sie fest, ob für einen einzelnen Mandanten mehrere Warnmeldungen im gleichen Zeitintervall eingehen. Falls ja, prüfen Sie, ob für den Mandanten bekannte Betriebsprobleme vorliegen; andernfalls sehen Sie sich das
top5_affected_data_applicationnameAttribut an, um die Anwendung zu identifizieren, die den Alarm ausgelöst hat. - Wenn die Warnmeldung über mehrere Stunden hinweg von derselben Quelle (d. h. derselben Mandanten- URL -Adresse und demselben Benutzernamen) generiert wird, kann der Benutzer für einen bestimmten Zeitraum (z. B. 24 Stunden) gesperrt werden.
- Achten Sie auf die Verteilung der IP-Adressen und Anwendungsnamen, um festzustellen, ob es sich um einen verteilten Angriff handelt.
- Stellen Sie fest, ob für einen einzelnen Mandanten mehrere Warnmeldungen im gleichen Zeitintervall eingehen. Falls ja, prüfen Sie, ob für den Mandanten bekannte Betriebsprobleme vorliegen; andernfalls sehen Sie sich das
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr. Stellen Sie fest, ob der Datenverkehr mit fehlgeschlagenen Anmeldeversuchen (Benutzername oder Passwort) zunimmt.
- Wird der Datenverkehr als verdächtig eingestuft, sperren Sie als vorbeugende Maßnahme das Konto, für das die Warnmeldung generiert wurde.
- Beispielalarm
{ "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH", "rule_name": "Frequent authentication from single user (Auth)", "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]", "component": "Login activity", "anomalous_event_count": 16283, "normal_traffic_volume": 0, "start_time": 1672048800000, "end_time": 1672052400000, "date": "2022-12-26", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 1, "anomalous_suspicious_ips": [ "12.153.148.57" ], "top5_affected_tenantname": "{'tenant1.abc.com': 16283}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}", "most_significant_data_cause": [ "Authenticated user \"MSurk\" successfully." ], "top5_affected_data_subtype": "{'user_password': 16283}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_sourcetype": "{'clouddirectory': 16283}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_origin": "{'12.153.148.57': 16283}", "most_significant_data_origin": [ "12.153.148.57" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{}", "most_significant_data_mfamethod": [], "top5_affected_data_username": "{'MSurk': 16283}", "most_significant_data_username": [ "MSurk" ], "top5_affected_geoip_country_name": "{'United States': 16283}", "most_significant_geoip_country_name": [ "United States" ] }
Ungewöhnlich hohe Anzahl von MFA-Geräteregistrierungen
Diese Warnmeldung weist auf einen Brute-Force-Angriff hin.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Den Schweregrad der Warnmeldung ermitteln |
|
| Ermitteln Sie die am häufigsten verwendete mfamethod in der letzten Stunde | top5_affected_data_mfamethod |
- Einige bekannte Analysemuster
- Diese Benachrichtigung wird bei Verwaltungsereignissen generiert. Wird eine Warnmeldung gefunden, prüfe, ob sie von einem berechtigten Benutzer stammt oder nicht. Wenn der Benutzer gültig ist, ermitteln Sie die Art der Authentifizierung (
top5_affected_data_mfamethod) und die Anzahl der registrierten Geräte (anomalous_event_count). Ergreifen Sie Maßnahmen, falls Verdachtsmomente vorliegen.
- Diese Benachrichtigung wird bei Verwaltungsereignissen generiert. Wird eine Warnmeldung gefunden, prüfe, ob sie von einem berechtigten Benutzer stammt oder nicht. Wenn der Benutzer gültig ist, ermitteln Sie die Art der Authentifizierung (
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr. Stellen Sie fest, ob der Datenverkehr mit fehlgeschlagenen Anmeldeversuchen (Benutzername oder Passwort) zunimmt.
- Wird der Datenverkehr als verdächtig eingestuft, sperren Sie als vorbeugende Maßnahme das Konto, für das die Warnmeldung generiert wurde.
- Wird der Benutzer als verdächtig eingestuft, wird er entweder gesperrt oder der Vorgang wird gemäß der in der Zugriffsrichtlinienregel festgelegten Vorgehensweise fortgesetzt. Weitere Informationen finden Sie unter „Bedrohungsbasierte Benutzerblockierung “.
- Beispielalarm
{ "rule_name": "Abnormal number of device enrollments", "rule_id": "ABNORMAL_DEVICE_ENROLLMENT", "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.", "severity": "critical", "date": "2023-01-12", "start_time": "2023-01-12 17:00:00", "end_time": "2023-01-12 18:00:00", "component": "Login activity", "normal_traffic_volume": 0, "anomalous_event_count": 20, "impacted_user_count": 1, "index": "event-management-*", "most_significant_data_subject": ["326000DLNK"], "most_significant_data_origin": [ "129.41.58.3" ], "top5_affected_data_username": "{'Henry': 20}", "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]", "most_significant_data_mfamethod": [ "Voice OTP" ], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 20}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_origin": "{'129.41.58.3': 20}", "anomalous_suspicious_ips": [ "129.41.58.3" ], "top5_affected_geoip_country_name": "{'United States': 20}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{'Voice OTP': 20}", "most_significant_data_username": [ "Henry" ] }
Mehrfache Verwendung kompromittierter Zugangsdaten
Diese Warnmeldung weist auf eine Kontoübernahme, Brute-Force-Angriffe oder Credential Stuffing hin.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Den Schweregrad der Warnmeldung ermitteln |
|
| Ermitteln Sie die IP-Adresse, von der aus versucht wird, die kompromittierten Anmeldedaten zu verwenden | Im source Attribut. |
| Betroffene Benutzernamen ermitteln | top5_affected_data_username zeigt die fünf Konten, die während des Angriffs am häufigsten genutzt werden. |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 7 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
- Einige bekannte Analysemuster
- Stellen Sie anhand des Attributs „form“
top5_affected_data_usernamefest, ob die IP-Adresse versucht, mit den gestohlenen Anmeldedaten auf mehrere Benutzer zuzugreifen. Wenn ja, kann die IP-Adresse für einen bestimmten Zeitraum gesperrt werden. - Wenn innerhalb einer Stunde mehrere Warnmeldungen von verschiedenen IP-Adressen eingegangen sind oder dieselbe IP-Adresse von
Multiple_failed_loginder Regel odercredential_stuffingerkannt wurde, könnte es sich um einen Brute-Force-Angriff oder um Credential Stuffing handeln.
- Stellen Sie anhand des Attributs „form“
- Mögliche Abhilfemaßnahmen
- Wenn Sie sich nicht sicher sind, ob es sich um einen Angriff handelt, überwachen Sie den Datenverkehr. Stellen Sie fest, ob der Datenverkehr mit fehlgeschlagenen Anmeldeversuchen (Benutzername oder Passwort) zunimmt.
- Falls während des Angriffs von derselben IP-Adresse aus erfolgreich auf bestimmte Benutzerkonten zugegriffen wurde, melden Sie den Benutzer von allen aktiven Sitzungen ab und fordern Sie ihn auf, sein Passwort zu ändern, oder sperren Sie den Benutzer vorübergehend als vorbeugende Maßnahme.
- Wenn mehrere Benutzer über die IP-Adresse mit kompromittierten Anmeldedaten zugreifen, sperren Sie die IP-Adresse im
sourceAttribut.
- Beispielalarm
{ "rule_id": "COMPROMISED_CREDENTIALS", "rule_name": "Multiple use of compromised credentials", "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.", "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]", "component": "Login activity", "severity": "critical", "impacted_user_count": 1, "anomalous_event_count": 100, "normal_traffic_volume": 0, "date": "2023-02-08", "top5_affected_data_scope": "{}", "rule_attribute": "compromised_credentials", "top5_affected_data_username": "{'Henry': 100}", "start_time": "2023-02-08 21:00:00", "end_time": "2023-02-08 22:00:00", "index": "event-authentication-*", "most_significant_data_mfamethod": [], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 100}", "top5_affected_data_providerid": "{}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "most_significant_data_sourcetype": [ "clouddirectory" ], "most_significant_data_scope": [], ], "top5_affected_data_subtype": "{'user_password': 100}", "most_significant_data_subtype": [ "user_password" ], "most_significant_data_providerid": [], "top5_affected_geoip_country_name": "{'United States': 100}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{}", "top5_affected_data_sourcetype": "{'clouddirectory': 100}", "most_significant_data_username": [ "Henry" ] }
Gruppierung nach Fehlerursache
Diese Meldung weist auf betriebliche Probleme hin.
- Untersuchung
- Analysieren Sie den Datenverkehr, um festzustellen, ob es sich um einen tatsächlichen Angriff handelt und ob Abhilfemaßnahmen erforderlich sind. Lesen Sie die folgenden Informationen, um mehr über die relevanten Kriterien und Merkmale zu erfahren. Entscheiden Sie anhand des vorliegenden Kontexts, ob es sich um einen echten Angriff handeln könnte oder nicht.
| Untersuchungskriterien | Attribute |
|---|---|
| Ermitteln Sie die betroffene Mandanten- URL | top5_affected_tenantname |
| Den Schweregrad der Warnmeldung ermitteln |
|
| Betroffene Benutzernamen ermitteln | top5_affected_data_username |
| Verkehrsaufkommen ermitteln | normal_traffic_volume liefert eine Referenzzahl auf der Grundlage der Ereignisse der letzten 7 Tage, die mit den Ereignissen der letzten Stunde verglichen werden. anomalous_event_count ist die Differenz zwischen der Gesamtzahl der Ereignisse in der letzten Stunde und normal_traffic_volume. |
| Fehlerbehebung bei betroffenen Komponenten während eines Angriffs oder bei betrieblichen Problemen | Die folgenden Attribute können analysiert werden, um weitere Informationen für die Untersuchung zu erhalten:
Hinweis: Die Anzahl der Ereignisse für jeden der Werte, die den oben genannten Attributen in ihrem jeweiligen
top5_affected_<FIELD NAME> Attribut entsprechen |
| Geben Sie die betroffene Anwendung und die Art des Problems an | Aus top5_affected_data_applicationname den summary Attributen und. |
- Mögliche Abhilfemaßnahmen
- Je nach Art des Problems sind möglicherweise Konfigurationsänderungen in der Verify-Verwaltungskonsole oder die Unterstützung durch das Verify-Supportteam erforderlich.
- Beispielalarm
{ "rule_id": "CAUSE_OF_SSO_FAILURE", "rule_name": "Grouping by the cause of failure (SSO)", "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.", "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 11314, "normal_traffic_volume": 1595, "start_time": 1674054000000, "end_time": 1674057600000, "date": "2023-01-18", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 7774, "impacted_apps_count": 20, ], "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}", "most_significant_data_subtype": [ "saml" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}", "most_significant_data_cause": [ "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol." ], "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}", "most_significant_data_applicationname": [ "ABC-365" ], "top5_affected_data_client_name": "{}", "most_significant_data_client_name": [], "top5_affected_data_redirecturl": "{}", "most_significant_data_redirecturl": [], "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}", "most_significant_data_providerid": [ "UNKNOWN" ], "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}", "most_significant_data_username": [ "UNKNOWN", "jer@abc.com", "crow@abc.com" ], "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}", "most_significant_geoip_country_name": [ "United States" ] }
Hinweis: Weitere Informationen zu den Überwachungsereignissen finden Sie unter „Nutzdaten von Sicherheitsereignissen “.
Weitere Informationen zur Erkennung von Bedrohungen finden Sie unter „Bedrohungserkennung in Verify “.