Evénements de menace
IBM® Verify génère des alertes afin de déterminer si le trafic est suspect. Il fournit également des informations détaillées sur les mesures correctives proactives à prendre si le trafic est jugé suspect.
IBM Verify génère les types d'alertes suivants.
Attaque potentielle par « credential stuffing » (PCS)
Cette alerte signale une attaque potentielle par « credential stuffing ». Une augmentation soudaine du nombre d'échecs de connexion (identifiant et mot de passe) a été détectée. Le niveau d'activité est comparé au comportement normal de SSO ou aux événements d'authentification enregistrés au cours des 14 derniers jours. L'alerte contient des informations détaillées sur toutes les adresses IP suspectes détectées lors de l'attaque.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP |
|
| Déterminer le niveau de gravité de l'alerte |
|
| Obtenir plus d'informations sur les causes des pannes | top5_affected_data_cause |
| Identifier les noms d'utilisateur concernés | top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque. |
| Vérifier si un compte a été consulté à partir d'adresses IP suspectes | compromised_users |
| Identifier l'application concernée | top5_affected_data_applicationname |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 14 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
- Quelques modèles d'analyse connus
- Identifier
xfe_confirmed_malicious_ipsla liste. Si une adresse IP est détectée dans cette catégorie, elle peut être directement bloquée ou signalée comme une attaque hautement probable. - Consultez les statistiques relatives aux adresses IP de
suspicious_ipsla liste.- Si la plupart des échecs proviennent d'une seule adresse IP et que les autres présentent tous un nombre d'échecs moins important, il se peut que quelqu'un ait exécuté un script ou une application en configurant un nom d'utilisateur ou un mot de passe erroné (identifiez le ou les noms d'utilisateur valides ayant accédé à partir de cette adresse IP). Vérifiez également la cause de l'échec et
top5_affected_data_applicationnamevoyez s'il s'agit d'un des problèmes connus. - Si plusieurs adresses IP figurent dans la liste des adresses suspectes avec un nombre important d'échecs, il y a de fortes chances qu'il s'agisse d'une attaque. Identifiez les adresses IP
top5_geoip_country_nameconcernées dans l'alerte, ainsi que la répartition par pays et par nom d'utilisateur pour chacune des adresses IP suspectées d'être à l'origine d'un nombre élevé d'échecs. - Si les défaillances concernent une application spécifique, cela peut être dû à une mauvaise configuration de cette application. Vérifiez auprès du responsable de l'application.
- Si la plupart des échecs proviennent d'une seule adresse IP et que les autres présentent tous un nombre d'échecs moins important, il se peut que quelqu'un ait exécuté un script ou une application en configurant un nom d'utilisateur ou un mot de passe erroné (identifiez le ou les noms d'utilisateur valides ayant accédé à partir de cette adresse IP). Vérifiez également la cause de l'échec et
- En ce qui concerne les événements d'authentification, si la plupart des causes d'échec contiennent des chaînes de caractères telles que
INVALID_CREDS[...], il pourrait s'agir d'une attaque.
- Identifier
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
- Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans
anomalous_suspicious_ipsl'attribut. - Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans
compromised_usersl'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
- Exemple d'alerte
{ "rule_id": "CREDENTIAL_STUFFING_SSO", "rule_name": "Potential credential stuffing attack (SSO)", "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 31348, "normal_traffic_volume": 1004, "start_time": 1669222800000, "end_time": 1669226400000, "date": "2022-11-23", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 32090, "impacted_apps_count": 5, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]", "anomalous_suspicious_ips": [ "169.50.223.22", "169.50.223.24", "169.59.129.116", "169.59.129.120", "52.117.163.162" ], "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}", "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.", "xfe_confirmed_malicious_ips": ['52.117.163.162'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 32352}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 32352}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid': 32352}", "most_significant_data_scope": [ "openid" ], "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}", "most_significant_data_cause": [ "CSIAQ0264E The user name or password is invalid." ], "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_applicationname": [ "urx_next" ], "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_client_name": [ "urx_next" ], "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}", "most_significant_data_redirecturl": [ "UNKNOWN" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}", "most_significant_data_username": [ "wsa@ibm.com" ], "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}", "most_significant_geoip_country_name": [ "United States" ] }
Plusieurs tentatives de connexion infructueuses depuis cette adresse IP
Cette alerte signale soit une attaque par force brute, soit une attaque par réutilisation d'identifiants. Une augmentation soudaine du nombre de tentatives de connexion infructueuses provenant d'une adresse IP a été détectée. Le niveau d'activité est comparé au comportement normal de SSO ou aux événements d'authentification enregistrés au cours des 7 derniers jours.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP |
|
| Déterminer le niveau de gravité de l'alerte |
|
| Récupérer des informations sur les causes des pannes | top5_affected_data_cause permet de déterminer si les défaillances sont dues à un problème opérationnel. |
| Identifier les noms d'utilisateur concernés | top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque. |
| Vérifier si un compte a été consulté à partir d'adresses IP suspectes | compromised_users |
| Identifier l'application concernée | top5_affected_data_applicationname |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
|
|
- Quelques modèles d'analyse connus
- Vérifier
xfe_confirmed_malicious_ipsla liste; si l'adresse IP y figure, la bloquer. - Vérifiez le nombre d'alertes de tentatives de connexion infructueuses multiples générées au cours de cette heure, puis identifiez
top5_affected_data_cause,top5_affected_data_applicationname, ettop5_affected_data_username.- Si le trafic provient d'une application et d'un utilisateur spécifiques, il se peut que quelqu'un ait saisi un nom d'utilisateur ou un mot de passe erroné et ait exécuté un script à cette fin. Vérifiez s'il s'agit d'un trafic légitime ou non.
- Si le trafic provient de plusieurs utilisateurs, bloquez l'adresse IP (à moins qu'il ne s'agisse d'une adresse IP de VPN ou de proxy). Si l'adresse IP est celle d'un VPN ou d'un proxy, vérifiez
top5_affected_data_causes'il s'agit d'un problème lié au fonctionnement. - Si plusieurs alertes sont détectées en une heure, identifiez-les
top5_affected_tenantnameettop5_affected_data_usernametraitez chacune d'entre elles. Si plusieurs adresses IP enregistrent le plus grand nombre d'échecs pour un même locataire et provenant de plusieurs utilisateurs, il peut s'agir d'une attaque ou d'une panne majeure de l'application ou du système.
- Vérifier
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic pour déterminer si le nombre de pannes diminue ou augmente.
- Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans
anomalous_suspicious_ipsl'attribut. - Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans
compromised_usersl'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
- Exemple d'alerte
{ "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH", "rule_name": "Multiple failed login from an IP address (Auth)", "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.", "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 5597, "normal_traffic_volume": 0, "start_time": 1673370000000, "end_time": 1673373600000, "date": "2023-01-10", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 17, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]", "anomalous_suspicious_ips": [ "165.155.173.54" ], "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}", "xfe_threat_insight": "Found 0 known malicious IPs.", "xfe_confirmed_malicious_ips": [], ], "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}", "most_significant_tenantname": [ "idpcloud.nycenet.edu" ], "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}", "most_significant_data_cause": [ "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"." ], "top5_affected_data_sourcetype": "{'clouddirectory': 5596}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{'SMS OTP': 1}", "most_significant_data_mfamethod": [ "SMS OTP" ], "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}", "most_significant_data_username": [ "aari" ], "top5_affected_geoip_country_name": "{'United States': 5597}", "most_significant_geoip_country_name": [ "United States" ] }
Nombre anormalement élevé d'événements d'échec de SSO/authentification observés par locataire
Cette alerte signale soit une attaque par force brute ou par « credential stuffing », soit des problèmes opérationnels.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Identifiez la liste des adresses IP suspectes et vérifiez si des tentatives de connexion ont abouti à partir de ces adresses IP |
|
| Déterminer le niveau de gravité de l'alerte |
|
| Récupérer des informations sur les causes des pannes | top5_affected_data_cause permet de déterminer si les défaillances sont dues à un problème opérationnel. |
| Identifier les noms d'utilisateur concernés | top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque. |
| Identifier l'application concernée | top5_affected_data_applicationname |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 14 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
|
|
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic pour déterminer si le nombre de pannes diminue ou augmente.
- Si l'on confirme qu'il s'agit d'une attaque, bloquer les adresses IP dans
anomalous_suspicious_ipsl'attribut. - Les comptes pour lesquels une connexion a été établie à partir d'adresses IP suspectes risquent d'avoir été piratés. Les noms d'utilisateur potentiellement compromis correspondant à chaque adresse IP suspecte se trouvent dans
compromised_usersl'attribut. Pour les comptes compromis, décidez si vous souhaitez réinitialiser les mots de passe ou désactiver ces comptes.
- Exemple d'alerte
{ "rule_id": "TENANT_FAILED_SSO_EVENTS", "rule_name": "Abnormal number of failed SSO events observed per tenant.", "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 24456, "normal_traffic_volume": 711, "start_time": 1671444000000, "end_time": 1671447600000, "date": "2022-12-19", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 88, "impacted_apps_count": 37, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], ['122.161.79.4', 100.0, 11, 0]]", "anomalous_suspicious_ips": [ "122.161.79.4", "177.241.73.204", "89.64.54.76" ], "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`", "xfe_confirmed_malicious_ips": ['122.161.79.4'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 25167}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 25167}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}", "most_significant_data_scope": [ "openid email" ], "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}", "most_significant_data_cause": [ "CSIAQ0178E Login is required. The request cannot be processed without authentication." ], "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}", "most_significant_data_applicationname": [ "Gaz-HAT-Production" ], "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}", "most_significant_data_client_name": [ "Gaz-HAT-Production" ], "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}", "most_significant_data_redirecturl": [ "https://gaz.tuc.stglabs.ibm.com/oidc/callback/" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}", "most_significant_data_username": [ "UNKNOWN" ], "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}", "most_significant_geoip_country_name": [ "Mexico" ] }
Authentification fréquente d'un seul utilisateur
Cette alerte signale soit une attaque par force brute ou par « credential stuffing », soit des problèmes opérationnels.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Déterminer le niveau de gravité de l'alerte |
|
| Identifier les noms d'utilisateur concernés | top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque. |
| Identifier l'application concernée | top5_affected_data_applicationname |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
Outre les critères et caractéristiques d'enquête déjà mentionnés, veuillez vérifier les éléments suivants :
|
|
- Quelques modèles d'analyse connus
- Déterminez si plusieurs alertes sont générées au cours d'un même intervalle pour un même locataire. Si oui, vérifiez s'il existe un problème opérationnel connu concernant le locataire; sinon, examinez l'attribut
top5_affected_data_applicationnamepour identifier l'application à l'origine de l'alerte. - Si l'alerte est générée à partir de la même source (c'est-à-dire la même URL de locataire et le même nom d'utilisateur) pendant plusieurs heures, l'utilisateur peut être bloqué pendant une certaine durée (par exemple, 24 heures).
- Recherchez la répartition des adresses IP et des noms d'applications afin de déterminer s'il s'agit d'une attaque distribuée.
- Déterminez si plusieurs alertes sont générées au cours d'un même intervalle pour un même locataire. Si oui, vérifiez s'il existe un problème opérationnel connu concernant le locataire; sinon, examinez l'attribut
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
- Si le trafic est jugé suspect, bloquez le compte à l'origine de l'alerte à titre de mesure préventive.
- Exemple d'alerte
{ "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH", "rule_name": "Frequent authentication from single user (Auth)", "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]", "component": "Login activity", "anomalous_event_count": 16283, "normal_traffic_volume": 0, "start_time": 1672048800000, "end_time": 1672052400000, "date": "2022-12-26", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 1, "anomalous_suspicious_ips": [ "12.153.148.57" ], "top5_affected_tenantname": "{'tenant1.abc.com': 16283}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}", "most_significant_data_cause": [ "Authenticated user \"MSurk\" successfully." ], "top5_affected_data_subtype": "{'user_password': 16283}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_sourcetype": "{'clouddirectory': 16283}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_origin": "{'12.153.148.57': 16283}", "most_significant_data_origin": [ "12.153.148.57" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{}", "most_significant_data_mfamethod": [], "top5_affected_data_username": "{'MSurk': 16283}", "most_significant_data_username": [ "MSurk" ], "top5_affected_geoip_country_name": "{'United States': 16283}", "most_significant_geoip_country_name": [ "United States" ] }
Nombre anormalement élevé d'enregistrements d'appareils MFA
Cette alerte signale une attaque par force brute.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Déterminer le niveau de gravité de l'alerte |
|
| Identifier la méthode mf la plus utilisée au cours de la dernière heure | top5_affected_data_mfamethod |
- Quelques modèles d'analyse connus
- Cette alerte est générée lors d'événements de gestion. Si une alerte est détectée, vérifiez si elle provient d'un utilisateur valide ou non. Si l'utilisateur est valide, identifiez le type d'authentification (
top5_affected_data_mfamethod) et le nombre d'appareils enregistrés (anomalous_event_count). Prenez les mesures nécessaires en cas de suspicion.
- Cette alerte est générée lors d'événements de gestion. Si une alerte est détectée, vérifiez si elle provient d'un utilisateur valide ou non. Si l'utilisateur est valide, identifiez le type d'authentification (
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
- Si le trafic est jugé suspect, bloquez le compte à l'origine de l'alerte à titre de mesure préventive.
- Si l'utilisateur est identifié comme suspect, il est soit bloqué, soit l'action se poursuit conformément à la règle de la politique d'accès. Pour plus d'informations, consultez la section « Blocage des utilisateurs en fonction des menaces ».
- Exemple d'alerte
{ "rule_name": "Abnormal number of device enrollments", "rule_id": "ABNORMAL_DEVICE_ENROLLMENT", "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.", "severity": "critical", "date": "2023-01-12", "start_time": "2023-01-12 17:00:00", "end_time": "2023-01-12 18:00:00", "component": "Login activity", "normal_traffic_volume": 0, "anomalous_event_count": 20, "impacted_user_count": 1, "index": "event-management-*", "most_significant_data_subject": ["326000DLNK"], "most_significant_data_origin": [ "129.41.58.3" ], "top5_affected_data_username": "{'Henry': 20}", "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]", "most_significant_data_mfamethod": [ "Voice OTP" ], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 20}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_origin": "{'129.41.58.3': 20}", "anomalous_suspicious_ips": [ "129.41.58.3" ], "top5_affected_geoip_country_name": "{'United States': 20}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{'Voice OTP': 20}", "most_significant_data_username": [ "Henry" ] }
Utilisation répétée d'identifiants compromis
Cette alerte signale une prise de contrôle de compte, une attaque par force brute ou une attaque par réutilisation d'identifiants.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Déterminer le niveau de gravité de l'alerte |
|
| Identifiez l'adresse IP qui tente d'utiliser les identifiants piratés | Dans source l'attribut. |
| Identifier les noms d'utilisateur concernés | top5_affected_data_username présente les 5 comptes les plus utilisés lors de l'attaque. |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
- Quelques modèles d'analyse connus
- Déterminez si l'adresse IP tente d'accéder à plusieurs comptes à l'aide des identifiants compromis via l'attribut « form
top5_affected_data_username». Si oui, l'adresse IP peut être bloquée pendant un certain temps. - Si plusieurs alertes provenant de différentes adresses IP ont été détectées en l'espace d'une heure, ou si la même adresse IP a été détectée par
Multiple_failed_loginla règle oucredential_stuffing, il pourrait s'agir d'une attaque par force brute ou d'une attaque par « credential stuffing ».
- Déterminez si l'adresse IP tente d'accéder à plusieurs comptes à l'aide des identifiants compromis via l'attribut « form
- Mesures correctives envisageables
- Si vous n'êtes pas certain qu'il s'agisse d'une attaque, surveillez le trafic. Déterminez si le trafic lié à des échecs de connexion (identifiant ou mot de passe) est en augmentation.
- Si certains comptes utilisateurs ont été consultés avec succès depuis la même adresse IP pendant la durée de l'attaque, déconnectez l'utilisateur de toutes les sessions actives et invitez-le à modifier son mot de passe, ou bloquez temporairement son compte à titre de mesure préventive.
- Si plusieurs utilisateurs tentent de se connecter à partir de cette adresse IP en utilisant des identifiants piratés, bloquez cette adresse IP dans l'attribut
source.
- Exemple d'alerte
{ "rule_id": "COMPROMISED_CREDENTIALS", "rule_name": "Multiple use of compromised credentials", "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.", "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]", "component": "Login activity", "severity": "critical", "impacted_user_count": 1, "anomalous_event_count": 100, "normal_traffic_volume": 0, "date": "2023-02-08", "top5_affected_data_scope": "{}", "rule_attribute": "compromised_credentials", "top5_affected_data_username": "{'Henry': 100}", "start_time": "2023-02-08 21:00:00", "end_time": "2023-02-08 22:00:00", "index": "event-authentication-*", "most_significant_data_mfamethod": [], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 100}", "top5_affected_data_providerid": "{}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "most_significant_data_sourcetype": [ "clouddirectory" ], "most_significant_data_scope": [], ], "top5_affected_data_subtype": "{'user_password': 100}", "most_significant_data_subtype": [ "user_password" ], "most_significant_data_providerid": [], "top5_affected_geoip_country_name": "{'United States': 100}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{}", "top5_affected_data_sourcetype": "{'clouddirectory': 100}", "most_significant_data_username": [ "Henry" ] }
Regroupement par cause de défaillance
Cette alerte signale des problèmes opérationnels.
- Examen
- Analyser le trafic pour déterminer s'il s'agit d'une véritable attaque et si des mesures correctives s'imposent. Consultez les informations suivantes pour en savoir plus sur les critères et les caractéristiques concernés. D'après le contexte fourni, déterminez s'il peut s'agir d'une véritable attaque ou non.
| Critères d'enquête | Attributs |
|---|---|
| Identifier l' URL du locataire concerné | top5_affected_tenantname |
| Déterminer le niveau de gravité de l'alerte |
|
| Identifier les noms d'utilisateur concernés | top5_affected_data_username |
| Déterminer le volume de trafic | normal_traffic_volume fournit un décompte de référence basé sur les événements des 7 derniers jours, qui sont comparés aux événements de la dernière heure. anomalous_event_count c'est la différence entre le nombre total d'événements survenus au cours de la dernière heure et normal_traffic_volume. |
| Déboguer les composants concernés pendant l'attaque ou en cas de problèmes opérationnels | Les attributs suivants peuvent être analysés afin d'obtenir davantage d'informations pour l'enquête :
Remarque : le nombre d'événements pour chacune des valeurs correspondant aux attributs ci-dessus dans leur attribut respectif
top5_affected_<FIELD NAME> |
| Identifiez l'application concernée et le type de problème | À partir top5_affected_data_applicationname des summary attributs et. |
- Mesures correctives envisageables
- En fonction du problème rencontré, il peut être nécessaire de modifier la configuration dans la console d'administration de Verify ou de faire appel à l'équipe d'assistance de Verify.
- Exemple d'alerte
{ "rule_id": "CAUSE_OF_SSO_FAILURE", "rule_name": "Grouping by the cause of failure (SSO)", "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.", "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 11314, "normal_traffic_volume": 1595, "start_time": 1674054000000, "end_time": 1674057600000, "date": "2023-01-18", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 7774, "impacted_apps_count": 20, ], "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}", "most_significant_data_subtype": [ "saml" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}", "most_significant_data_cause": [ "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol." ], "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}", "most_significant_data_applicationname": [ "ABC-365" ], "top5_affected_data_client_name": "{}", "most_significant_data_client_name": [], "top5_affected_data_redirecturl": "{}", "most_significant_data_redirecturl": [], "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}", "most_significant_data_providerid": [ "UNKNOWN" ], "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}", "most_significant_data_username": [ "UNKNOWN", "jer@abc.com", "crow@abc.com" ], "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}", "most_significant_geoip_country_name": [ "United States" ] }
Pour plus d'informations sur la détection des menaces, consultez la section « Détection des menaces » dans Verify.