Evénements de menace

IBM® Verify génère des alertes afin de déterminer si le trafic est suspect. Il fournit également des informations détaillées sur les mesures correctives proactives à prendre si le trafic est jugé suspect.

IBM Verify génère les types d'alertes suivants.

Attaque potentielle par « credential stuffing » (PCS)

Cette alerte signale une attaque potentielle par « credential stuffing ». Une augmentation soudaine du nombre d'échecs de connexion (identifiant et mot de passe) a été détectée. Le niveau d'activité est comparé au comportement normal de SSO ou aux événements d'authentification enregistrés au cours des 14 derniers jours. L'alerte contient des informations détaillées sur toutes les adresses IP suspectes détectées lors de l'attaque.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP
  • xfe_confirmed_malicious_ips - Liste des adresses IP actives sur lesquelles des événements liés à l'authentification unique (SSO), à l'authentification ou à la gestion ont été détectés au cours de la dernière heure.
  • xfe_threat_insight - Catégories associées aux propriétés intellectuelles exploitables. Par exemple : « 3 adresses IP malveillantes connues ont été détectées, réparties dans les catégories suivantes : anons - 0, bots - 3, c2server - 0, mw - 0, scanning - 0. »
  • suspicious_ips - Liste des adresses IP actives détectées au cours de la dernière heure, avec le pourcentage d'échecs, le nombre de connexions réussies et le nombre de tentatives de connexion infructueuses pour chaque adresse IP.
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'événements anormaux est supérieur à max(5*normal_failure_count, 10000).
  • Avertissement - Si le nombre d'événements anormaux se situe entre [min(3* normal traffic volume, 5000), Critical value].
Obtenir plus d'informations sur les causes des pannes top5_affected_data_cause
Identifier les noms d'utilisateur concernés top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque.
Vérifier si un compte a été consulté à partir d'adresses IP suspectes compromised_users
Identifier l'application concernée top5_affected_data_applicationname
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 14 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Quelques modèles d'analyse connus
  • Identifier xfe_confirmed_malicious_ips la liste. Si une adresse IP est détectée dans cette catégorie, elle peut être directement bloquée ou signalée comme une attaque hautement probable.
  • Consultez les statistiques relatives aux adresses IP de suspicious_ips la liste.
    • Si la plupart des échecs proviennent d'une seule adresse IP et que les autres présentent tous un nombre d'échecs moins important, il se peut que quelqu'un ait exécuté un script ou une application en configurant un nom d'utilisateur ou un mot de passe erroné (identifiez le ou les noms d'utilisateur valides ayant accédé à partir de cette adresse IP). Vérifiez également la cause de l'échec et top5_affected_data_applicationname voyez s'il s'agit d'un des problèmes connus.
    • Si plusieurs adresses IP figurent dans la liste des adresses suspectes avec un nombre important d'échecs, il y a de fortes chances qu'il s'agisse d'une attaque. Identifiez les adresses IP top5_geoip_country_name concernées dans l'alerte, ainsi que la répartition par pays et par nom d'utilisateur pour chacune des adresses IP suspectées d'être à l'origine d'un nombre élevé d'échecs.
    • Si les défaillances concernent une application spécifique, cela peut être dû à une mauvaise configuration de cette application. Vérifiez auprès du responsable de l'application.
  • En ce qui concerne les événements d'authentification, si la plupart des causes d'échec contiennent des chaînes de caractères telles que INVALID_CREDS [...], il pourrait s'agir d'une attaque.
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
  • Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans anomalous_suspicious_ips l'attribut.
  • Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans compromised_users l'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
Exemple d'alerte
{
  "rule_id": "CREDENTIAL_STUFFING_SSO",
  "rule_name": "Potential credential stuffing attack (SSO)",
  "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.",
  "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]",
  "component": "Login activity",
  "anomalous_event_count": 31348,
  "normal_traffic_volume": 1004,
  "start_time": 1669222800000,
  "end_time": 1669226400000,
  "date": "2022-11-23",
  "severity": "critical",
  "index": "event-sso-*",
  "impacted_user_count": 32090,
  "impacted_apps_count": 5,
  "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], 
  ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], 
  ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]",
  "anomalous_suspicious_ips": [
    "169.50.223.22",
    "169.50.223.24",
    "169.59.129.116",
    "169.59.129.120",
    "52.117.163.162"
  ],
  "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}",
  "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.",
  "xfe_confirmed_malicious_ips": ['52.117.163.162'],
  ],
  "top5_affected_tenantname": "{'tenant1.abc.com': 32352}",
  "most_significant_tenantname": [
    "tenant1.abc.com"
  ],
  "top5_affected_data_subtype": "{'oidc': 32352}",
  "most_significant_data_subtype": [
    "oidc"
  ],
  "top5_affected_data_scope": "{'openid': 32352}",
  "most_significant_data_scope": [
    "openid"
  ],
  "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}",
  "most_significant_data_cause": [
    "CSIAQ0264E The user name or password is invalid."
  ],
  "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}",
  "most_significant_data_applicationname": [
    "urx_next"
  ],
  "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}",
  "most_significant_data_client_name": [
    "urx_next"
  ],
  "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}",
  "most_significant_data_redirecturl": [
    "UNKNOWN"
  ],
  "top5_affected_data_providerid": "{}",
  "most_significant_data_providerid": [],
  "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}",
  "most_significant_data_username": [
    "wsa@ibm.com"
  ],
  "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}",
  "most_significant_geoip_country_name": [
    "United States"
  ]
}

Plusieurs tentatives de connexion infructueuses depuis cette adresse IP

Cette alerte signale soit une attaque par force brute, soit une attaque par réutilisation d'identifiants. Une augmentation soudaine du nombre de tentatives de connexion infructueuses provenant d'une adresse IP a été détectée. Le niveau d'activité est comparé au comportement normal de SSO ou aux événements d'authentification enregistrés au cours des 7 derniers jours.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP
  • xfe_confirmed_malicious_ips - Liste des adresses IP actives sur lesquelles des événements liés à l'authentification unique (SSO), à l'authentification ou à la gestion ont été détectés au cours de la dernière heure.
  • xfe_threat_insight - Catégories associées aux propriétés intellectuelles exploitables. Par exemple : « 3 adresses IP malveillantes connues ont été détectées, réparties dans les catégories suivantes : anons - 0, bots - 3, c2server - 0, mw - 0, scanning - 0. »
  • suspicious_ips - Liste des adresses IP actives détectées au cours de la dernière heure, avec le pourcentage d'échecs, le nombre de connexions réussies et le nombre de tentatives de connexion infructueuses pour chaque adresse IP.
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'événements anormaux est supérieur à max(5*normal_failure_count, 5000).
  • Avertissement : si le nombre d'événements anormaux se situe entre [min(3* normal traffic volume, 500), Critical value].
Récupérer des informations sur les causes des pannes top5_affected_data_cause permet de déterminer si les défaillances sont dues à un problème opérationnel.
Identifier les noms d'utilisateur concernés top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque.
Vérifier si un compte a été consulté à partir d'adresses IP suspectes compromised_users
Identifier l'application concernée top5_affected_data_applicationname
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
  • Il arrive parfois que la connexion échoue en raison de problèmes techniques. Vérifiez s'il existe des problèmes connus susceptibles de provoquer ces défaillances et de déclencher une alerte.
  • Vérifiez si plusieurs noms d'utilisateur sont utilisés à partir de cette adresse IP. Si plusieurs noms d'utilisateur sont utilisés, vérifiez s'il s'agit d'un VPN. Si l'adresse IP ne provient pas du VPN, il peut s'agir d'une attaque.
Quelques modèles d'analyse connus
  • Vérifier xfe_confirmed_malicious_ips la liste; si l'adresse IP y figure, la bloquer.
  • Vérifiez le nombre d'alertes de tentatives de connexion infructueuses multiples générées au cours de cette heure, puis identifiez top5_affected_data_cause,top5_affected_data_applicationname, et top5_affected_data_username.
    • Si le trafic provient d'une application et d'un utilisateur spécifiques, il se peut que quelqu'un ait saisi un nom d'utilisateur ou un mot de passe erroné et ait exécuté un script à cette fin. Vérifiez s'il s'agit d'un trafic légitime ou non.
    • Si le trafic provient de plusieurs utilisateurs, bloquez l'adresse IP (à moins qu'il ne s'agisse d'une adresse IP de VPN ou de proxy). Si l'adresse IP est celle d'un VPN ou d'un proxy, vérifiez top5_affected_data_cause s'il s'agit d'un problème lié au fonctionnement.
    • Si plusieurs alertes sont détectées en une heure, identifiez-les top5_affected_tenantname et top5_affected_data_username traitez chacune d'entre elles. Si plusieurs adresses IP enregistrent le plus grand nombre d'échecs pour un même locataire et provenant de plusieurs utilisateurs, il peut s'agir d'une attaque ou d'une panne majeure de l'application ou du système.
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic pour déterminer si le nombre de pannes diminue ou augmente.
  • Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans anomalous_suspicious_ips l'attribut.
  • Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans compromised_users l'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
Exemple d'alerte
{
    "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH",
    "rule_name": "Multiple failed login from an IP address (Auth)",
    "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.",
    "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 5597,
    "normal_traffic_volume": 0,
    "start_time": 1673370000000,
    "end_time": 1673373600000,
    "date": "2023-01-10",
    "severity": "critical",
    "index": "event-authentication-*",
    "impacted_user_count": 17,
    "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]",
    "anomalous_suspicious_ips": [
      "165.155.173.54"
    ],
    "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}",
    "xfe_threat_insight": "Found 0 known malicious IPs.",
    "xfe_confirmed_malicious_ips": [],
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}",
    "most_significant_tenantname": [
      "idpcloud.nycenet.edu"
    ],
    "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}",
    "most_significant_data_subtype": [
      "user_password"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 
    'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 
    'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 
    'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 
    'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}",
    "most_significant_data_cause": [
      "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"."
    ],
    "top5_affected_data_sourcetype": "{'clouddirectory': 5596}",
    "most_significant_data_sourcetype": [
      "clouddirectory"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_grant_type": "{}",
    "most_significant_data_grant_type": [],
    "top5_affected_data_mfamethod": "{'SMS OTP': 1}",
    "most_significant_data_mfamethod": [
      "SMS OTP"
    ],
    "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}",
    "most_significant_data_username": [
      "aari"
    ],
    "top5_affected_geoip_country_name": "{'United States': 5597}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}

Nombre anormalement élevé d'événements d'échec de SSO/authentification observés par locataire

Cette alerte signale soit une attaque par force brute ou par « credential stuffing », soit des problèmes opérationnels.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP
  • xfe_confirmed_malicious_ips - Liste des adresses IP actives sur lesquelles des événements liés à l'authentification unique (SSO), à l'authentification ou à la gestion ont été détectés au cours de la dernière heure.
  • xfe_threat_insight - Catégories associées aux propriétés intellectuelles exploitables. Par exemple : « 3 adresses IP malveillantes connues ont été détectées, réparties dans les catégories suivantes : anons - 0, bots - 3, c2server - 0, mw - 0, scanning - 0. »
  • suspicious_ips - Liste des adresses IP actives détectées au cours de la dernière heure, avec le pourcentage d'échecs, le nombre de connexions réussies et le nombre de tentatives de connexion infructueuses pour chaque adresse IP.
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'événements anormaux est supérieur à max(5*normal_failure_count, 10000).
  • Avertissement - Si le nombre d'événements anormaux se situe entre [min(3* normal traffic volume, 5000), Critical value].
Récupérer des informations sur les causes des pannes top5_affected_data_cause permet de déterminer si les défaillances sont dues à un problème opérationnel.
Identifier les noms d'utilisateur concernés top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque.
Identifier l'application concernée top5_affected_data_applicationname
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 14 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
  • Il arrive parfois que des événements d'échec de connexion soient générés en raison de problèmes opérationnels.
    • Vérifiez s'il existe un problème connu susceptible d'être à l'origine de ces défaillances et de déclencher une alerte.
    • Vérifiez s'il existe d'autres alertes indiquant une attaque, telles que « Plusieurs tentatives de connexion infructueuses depuis une adresse IP » ou « Attaque potentielle par credential stuffing ».
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic pour déterminer si le nombre de pannes diminue ou augmente.
  • Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans anomalous_suspicious_ips l'attribut.
  • Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans compromised_users l'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
Exemple d'alerte
{
    "rule_id": "TENANT_FAILED_SSO_EVENTS",
    "rule_name": "Abnormal number of failed SSO events observed per tenant.",
    "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.",
    "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 24456,
    "normal_traffic_volume": 711,
    "start_time": 1671444000000,
    "end_time": 1671447600000,
    "date": "2022-12-19",
    "severity": "critical",
    "index": "event-sso-*",
    "impacted_user_count": 88,
    "impacted_apps_count": 37,
    "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], 
    ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], 
    ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], 
    ['122.161.79.4', 100.0, 11, 0]]",
    "anomalous_suspicious_ips": [
      "122.161.79.4",
      "177.241.73.204",
      "89.64.54.76"
    ],
    "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`",
    "xfe_confirmed_malicious_ips": ['122.161.79.4'],
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 25167}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_subtype": "{'oidc': 25167}",
    "most_significant_data_subtype": [
      "oidc"
    ],
    "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}",
    "most_significant_data_scope": [
      "openid email"
    ],
    "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 
    'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 
    'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 
    'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 
    'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}",
    "most_significant_data_cause": [
      "CSIAQ0178E Login is required. The request cannot be processed without authentication."
    ],
    "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}",
    "most_significant_data_applicationname": [
      "Gaz-HAT-Production"
    ],
    "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}",
    "most_significant_data_client_name": [
      "Gaz-HAT-Production"
    ],
    "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}",
    "most_significant_data_redirecturl": [
      "https://gaz.tuc.stglabs.ibm.com/oidc/callback/"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}",
    "most_significant_data_username": [
      "UNKNOWN"
    ],
    "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}",
    "most_significant_geoip_country_name": [
      "Mexico"
    ]
}

Authentification fréquente d'un seul utilisateur

Cette alerte signale soit une attaque par force brute ou par « credential stuffing », soit des problèmes opérationnels.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'événements anormaux est supérieur à max(5*normal_failure_count, 10000).
  • Avertissement - Si le nombre d'événements anormaux se situe entre [min(3* normal traffic volume, 5000), Critical value].
Identifier les noms d'utilisateur concernés top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque.
Identifier l'application concernée top5_affected_data_applicationname
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
  • Parfois, ces authentifications fréquentes peuvent être dues à une mauvaise configuration de l'application. Vérifiez s'il existe un problème connu susceptible d'être à l'origine de ces défaillances et de déclencher une alerte.
Quelques modèles d'analyse connus
  • Déterminez si plusieurs alertes sont générées au cours d'un même intervalle pour un même locataire. Si oui, vérifiez s'il existe un problème opérationnel connu concernant le locataire; sinon, examinez l'attribut top5_affected_data_applicationname pour identifier l'application à l'origine de l'alerte.
  • Si l'alerte est générée à partir de la même source (c'est-à-dire la même URL de locataire et le même nom d'utilisateur) pendant plusieurs heures, l'utilisateur peut être bloqué pendant une certaine durée (par exemple, 24 heures).
  • Recherchez la répartition des adresses IP et des noms d'applications afin de déterminer s'il s'agit d'une attaque distribuée.
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
  • Si le trafic est jugé suspect, bloquez le compte à l'origine de l'alerte à titre de mesure préventive.
Exemple d'alerte
{
    "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH",
    "rule_name": "Frequent authentication from single user (Auth)",
    "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.",
    "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]",
    "component": "Login activity",
    "anomalous_event_count": 16283,
    "normal_traffic_volume": 0,
    "start_time": 1672048800000,
    "end_time": 1672052400000,
    "date": "2022-12-26",
    "severity": "critical",
    "index": "event-authentication-*",
    "impacted_user_count": 1,
    "anomalous_suspicious_ips": [
      "12.153.148.57"
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 16283}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}",
    "most_significant_data_cause": [
      "Authenticated user \"MSurk\" successfully."
    ],
    "top5_affected_data_subtype": "{'user_password': 16283}",
    "most_significant_data_subtype": [
      "user_password"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_sourcetype": "{'clouddirectory': 16283}",
    "most_significant_data_sourcetype": [
      "clouddirectory"
    ],
    "top5_affected_data_origin": "{'12.153.148.57': 16283}",
    "most_significant_data_origin": [
      "12.153.148.57"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_grant_type": "{}",
    "most_significant_data_grant_type": [],
    "top5_affected_data_mfamethod": "{}",
    "most_significant_data_mfamethod": [],
    "top5_affected_data_username": "{'MSurk': 16283}",
    "most_significant_data_username": [
      "MSurk"
    ],
    "top5_affected_geoip_country_name": "{'United States': 16283}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}

Nombre anormalement élevé d'enregistrements d'appareils MFA

Cette alerte signale une attaque par force brute.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'appareils d'authentification multifactorielle (MFA) uniques par utilisateur est supérieur à 20.
  • Avertissement - Si le nombre de dispositifs d'authentification multifactorielle (MFA) uniques par utilisateur se situe entre [8, 20].
Identifier la méthode mf la plus utilisée au cours de la dernière heure top5_affected_data_mfamethod
Quelques modèles d'analyse connus
  • Cette alerte est générée lors d'événements de gestion. Si une alerte est détectée, vérifiez si elle provient d'un utilisateur valide ou non. Si l'utilisateur est valide, identifiez le type d'authentification (top5_affected_data_mfamethod) et le nombre d'appareils enregistrés (anomalous_event_count). Prenez les mesures nécessaires en cas de suspicion.
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
  • Si le trafic est jugé suspect, bloquez le compte à l'origine de l'alerte à titre de mesure préventive.
  • Si l'utilisateur est identifié comme suspect, il est soit bloqué, soit l'action se poursuit conformément à la règle de la politique d'accès. Pour plus d'informations, consultez la section « Blocage des utilisateurs en fonction des menaces ».
Exemple d'alerte
{
    "rule_name": "Abnormal number of device enrollments",
    "rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
    "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.",
    "severity": "critical",
    "date": "2023-01-12",
    "start_time": "2023-01-12 17:00:00",
    "end_time": "2023-01-12 18:00:00",
    "component": "Login activity",
    "normal_traffic_volume": 0,
    "anomalous_event_count": 20,
    "impacted_user_count": 1,
    "index": "event-management-*", 
    "most_significant_data_subject": ["326000DLNK"],
    "most_significant_data_origin": [
      "129.41.58.3"
    ],
    "top5_affected_data_username": "{'Henry': 20}",
    "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]",
    "most_significant_data_mfamethod": [
      "Voice OTP"
    ],
    "most_significant_geoip_country_name": [
      "United States"
    ],
    "most_significant_data_grant_type": [],
    "top5_affected_tenantname": "{'tenant1.abc.com': 20}",
    ],
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_origin": "{'129.41.58.3': 20}",
    "anomalous_suspicious_ips": [
      "129.41.58.3"
    ],
    "top5_affected_geoip_country_name": "{'United States': 20}",
    "top5_affected_data_grant_type": "{}",
    "top5_affected_data_mfamethod": "{'Voice OTP': 20}",
    "most_significant_data_username": [
      "Henry"
    ]
}

Utilisation répétée d'identifiants compromis

Cette alerte signale une prise de contrôle de compte, une attaque par force brute ou une attaque par réutilisation d'identifiants.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'utilisateurs uniques utilisant des mots de passe compromis par adresse IP est supérieur à 500.
  • Avertissement - Si le nombre d'utilisateurs uniques utilisant des mots de passe compromis par adresse IP se situe entre [50, 500].
Identifiez l'adresse IP qui tente d'utiliser les identifiants piratés Dans source l'attribut.
Identifier les noms d'utilisateur concernés top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque.
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_sourcetype
  • most_significant_data_providerid
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Quelques modèles d'analyse connus
  • Déterminez si l'adresse IP tente d'accéder à plusieurs comptes à l'aide des identifiants compromis via l'attribut « form top5_affected_data_username ». Si oui, l'adresse IP peut être bloquée pendant un certain temps.
  • Si plusieurs alertes provenant de différentes adresses IP ont été détectées en l'espace d'une heure, ou si la même adresse IP a été détectée par Multiple_failed_login la règle ou credential_stuffing , il pourrait s'agir d'une attaque par force brute ou d'une attaque par « credential stuffing ».
Mesures correctives envisageables
  • Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
  • Si certains comptes utilisateurs ont été consultés avec succès depuis la même adresse IP pendant la durée de l'attaque, déconnectez l'utilisateur de toutes les sessions actives et invitez-le à modifier son mot de passe, ou bloquez temporairement son compte à titre de mesure préventive.
  • Si plusieurs utilisateurs tentent de se connecter à partir de cette adresse IP en utilisant des identifiants piratés, bloquez cette adresse IP dans l'attribut source .
Exemple d'alerte
{
    "rule_id": "COMPROMISED_CREDENTIALS",
    "rule_name": "Multiple use of compromised credentials",
    "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.",
    "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]",
    "component": "Login activity",
    "severity": "critical",
    "impacted_user_count": 1,
    "anomalous_event_count": 100,
    "normal_traffic_volume": 0,
    "date": "2023-02-08",
    "top5_affected_data_scope": "{}",
    "rule_attribute": "compromised_credentials",
    "top5_affected_data_username": "{'Henry': 100}",
    "start_time": "2023-02-08 21:00:00",
    "end_time": "2023-02-08 22:00:00",
    "index": "event-authentication-*",
    "most_significant_data_mfamethod": [],
    "most_significant_geoip_country_name": [
        "United States"
    ],
    "most_significant_data_grant_type": [],
    "top5_affected_tenantname": "{'tenant1.abc.com': 100}",
    "top5_affected_data_providerid": "{}",
    ],
    "most_significant_tenantname": [
        "tenant1.abc.com"
    ],
    "most_significant_data_sourcetype": [
        "clouddirectory"
    ],
    "most_significant_data_scope": [],
    ],
    "top5_affected_data_subtype": "{'user_password': 100}",
    "most_significant_data_subtype": [
        "user_password"
    ],
    "most_significant_data_providerid": [],
    "top5_affected_geoip_country_name": "{'United States': 100}",
    "top5_affected_data_grant_type": "{}",
    "top5_affected_data_mfamethod": "{}",
    "top5_affected_data_sourcetype": "{'clouddirectory': 100}",
    "most_significant_data_username": [
        "Henry"
    ]
}

Regroupement par cause de défaillance

Cette alerte signale des problèmes opérationnels.

Examen
Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.

Informations d'investigation

Critères d'enquête Attributs
Identifier l' URL du locataire concerné top5_affected_tenantname
Déterminer le niveau de gravité de l'alerte
  • Critique - Si le nombre d'événements anormaux est supérieur à max(5*normal_failure_count, 10000).
  • Avertissement : si le nombre d'événements anormaux se situe entre [min(3* normal traffic volume, 5000), Critical value].
Identifier les noms d'utilisateur concernés top5_affected_data_username
Déterminer le volume de trafic normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume.
Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif top5_affected_<FIELD NAME>
Identifiez l'application concernée et le type de problème À partir top5_affected_data_applicationname des summary attributs et.
Mesures correctives envisageables
  • En fonction du problème rencontré, il peut être nécessaire de modifier la configuration dans la console d'administration de Verify ou de faire appel à l'équipe d'assistance de Verify.
Exemple d'alerte
{
    "rule_id": "CAUSE_OF_SSO_FAILURE",
    "rule_name": "Grouping by the cause of failure (SSO)",
    "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.",
    "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 11314,
    "normal_traffic_volume": 1595,
    "start_time": 1674054000000,
    "end_time": 1674057600000,
    "date": "2023-01-18",
    "severity": "critical",
    "index": "event-sso-*",
    "impacted_user_count": 7774,
    "impacted_apps_count": 20,
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}",
    "most_significant_data_subtype": [
      "saml"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}",
    "most_significant_data_cause": [
      "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol."
    ],
    "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}",
    "most_significant_data_applicationname": [
      "ABC-365"
    ],
    "top5_affected_data_client_name": "{}",
    "most_significant_data_client_name": [],
    "top5_affected_data_redirecturl": "{}",
    "most_significant_data_redirecturl": [],
    "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}",
    "most_significant_data_providerid": [
      "UNKNOWN"
    ],
    "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}",
    "most_significant_data_username": [
      "UNKNOWN",
      "jer@abc.com",
      "crow@abc.com"
    ],
    "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}
Remarque : pour plus d'informations sur les événements d'audit, consultez la section « Contenu des événements de menace ».

Pour plus d'informations sur la détection des menaces, consultez la section « Détection des menaces » dans Verify.