脅威イベント
IBM® Verify トラフィックに不審な点がないかを判断するためにアラートを生成します。 また、トラフィックが不審であると判断された場合の、予防的な是正措置に関する詳細も記載されています。
IBM Verify 以下の種類のアラートを生成します。
クレデンシャルスタッフィング(PCS)攻撃の恐れ
このアラートは、認証情報詰め込み攻撃の可能性があることを示しています。 ユーザー名とパスワードの認証失敗が急増していることが確認されました。 アクティビティのレベルは、過去14日間の通常のSSO動作または認証イベントと比較されます。 このアラートには、攻撃中に検出された不正なIPアドレスに関する詳細が含まれています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| 不審なIPアドレスのリストを特定し、これらのIPアドレスからのログインリクエストが成功したかどうかを確認する |
|
| アラートの深刻度を特定する |
|
| 障害の原因に関する詳細情報を取得する | top5_affected_data_cause |
| 影響を受けるユーザー名を特定する | top5_affected_data_username 攻撃中に最も頻繁に使用される上位5つのアカウントを示しています。 |
| 不審なIPアドレスからアカウントへのアクセスが成功したかどうかを確認する | compromised_users |
| 影響を受けるアプリケーションを特定する | top5_affected_data_applicationname |
| 交通量を把握する | normal_traffic_volume 過去14日間のイベント数に基づく基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
- 既知の分析パターン
- リストを特定
xfe_confirmed_malicious_ipsする。 そのカテゴリに該当するIPアドレスが見つかった場合、そのIPアドレスを直接ブロックするか、または高い確信度で攻撃として報告することができます。 - リストにある
suspicious_ipsIPアドレスの統計をご覧ください。- 失敗したイベントの大部分が特定の1つのIPアドレスから発生しており、残りのIPアドレスでは失敗イベントの数が少ない場合、誰かが誤ったユーザー名やパスワードを設定してスクリプトやアプリケーションを実行した可能性があります(そのIPアドレスからアクセスした有効なユーザー名を特定してください)。 また、障害の原因を確認し、
top5_affected_data_applicationname既知の問題に該当するかどうかを確認してください。 - 不審なIPリストに、重大な障害件数が多発しているIPアドレスが複数ある場合、それは攻撃である可能性が極めて高い。 アラート内の を
top5_geoip_country_name特定し、さらに、障害の発生率が高い不審なIPアドレスについて、国別およびユーザー名別の分布を個別に確認してください。 - 障害が特定のアプリケーションに限定されている場合は、そのアプリケーションの設定ミスが原因である可能性があります。 アプリケーションの所有者に確認してください。
- 失敗したイベントの大部分が特定の1つのIPアドレスから発生しており、残りのIPアドレスでは失敗イベントの数が少ない場合、誰かが誤ったユーザー名やパスワードを設定してスクリプトやアプリケーションを実行した可能性があります(そのIPアドレスからアクセスした有効なユーザー名を特定してください)。 また、障害の原因を確認し、
- 認証イベントにおいて、失敗の原因の大部分に「」のような
INVALID_CREDS文字列が含まれている場合、それは攻撃である可能性があります。
- リストを特定
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視してください。 ユーザー名またはパスワードの認証に失敗したトラフィックが増加しているかどうかを確認してください。
- 攻撃であることが確認された場合は、attribute で
anomalous_suspicious_ipsそのIPアドレスをブロックしてください。 - 不審なIPアドレスから正常にログインされたアカウントは、乗っ取られる可能性があります。 各不審なIPアドレスに対応する、侵害された可能性のあるユーザー名は、attribute 内に
compromised_users記載されています。 侵害されたアカウントについては、パスワードをリセットするか、アカウントを無効にするかを選択してください。
- サンプル・アラート
{ "rule_id": "CREDENTIAL_STUFFING_SSO", "rule_name": "Potential credential stuffing attack (SSO)", "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 31348, "normal_traffic_volume": 1004, "start_time": 1669222800000, "end_time": 1669226400000, "date": "2022-11-23", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 32090, "impacted_apps_count": 5, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]", "anomalous_suspicious_ips": [ "169.50.223.22", "169.50.223.24", "169.59.129.116", "169.59.129.120", "52.117.163.162" ], "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}", "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.", "xfe_confirmed_malicious_ips": ['52.117.163.162'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 32352}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 32352}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid': 32352}", "most_significant_data_scope": [ "openid" ], "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}", "most_significant_data_cause": [ "CSIAQ0264E The user name or password is invalid." ], "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_applicationname": [ "urx_next" ], "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_client_name": [ "urx_next" ], "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}", "most_significant_data_redirecturl": [ "UNKNOWN" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}", "most_significant_data_username": [ "wsa@ibm.com" ], "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}", "most_significant_geoip_country_name": [ "United States" ] }
特定のIPアドレスからのログイン失敗が複数回発生しています
このアラートは、ブルートフォース攻撃またはクレデンシャルスタッフィング攻撃のいずれかを示しています。 あるIPアドレスからのログイン失敗が急増していることが検出されました。 アクティビティのレベルは、過去7日間の通常のSSO動作または認証イベントと比較されます。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| 不審なIPアドレスのリストを特定し、これらのIPアドレスからのログインリクエストが成功したかどうかを確認する |
|
| アラートの深刻度を特定する |
|
| 障害の原因に関する情報を取得する | top5_affected_data_cause 障害が運用上の問題によるものかどうかを判断するのに役立ちます。 |
| 影響を受けるユーザー名を特定する | top5_affected_data_username 攻撃中に最も頻繁に使用される上位5つのアカウントを示しています。 |
| 不審なIPアドレスからアカウントへのアクセスが成功したかどうかを確認する | compromised_users |
| 影響を受けるアプリケーションを特定する | top5_affected_data_applicationname |
| 交通量を把握する | normal_traffic_volume 過去7日間のイベント数に基づいて基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
前述の調査基準や属性に加え、以下の詳細についても相互に照合してください:
|
|
- 既知の分析パターン
- リストを照合
xfe_confirmed_malicious_ipsし、一致した場合はそのIPアドレスをブロックする。 top5_affected_data_usernametop5_affected_data_causeその1時間に生成された「複数回のログイン失敗」アラートの件数を確認し、top5_affected_data_applicationname,, および を特定してください。- そのトラフィックが特定のアプリケーションと特定のユーザーによるものである場合、誰かが誤ったユーザー名やパスワードを設定し、何らかのスクリプトを実行してしまった可能性があります。 それが正当なトラフィックかどうかを確認してください。
- トラフィックが複数のユーザーから送信されている場合は、そのIPアドレスをブロックしてください(VPNやプロキシのIPアドレスでない限り)。 そのIPアドレスがVPNまたはプロキシ経由のものである場合は、運用上の問題によるものかどうかを確認してください
top5_affected_data_cause。 - 1時間に複数のアラートが検出された場合、各アラートについて特定
top5_affected_tenantnameし、top5_affected_data_username単一のテナントに対して、複数のIPアドレスから多数の障害が発生している場合、それは攻撃、あるいはアプリケーションやシステムの大規模な障害である可能性があります。
- リストを照合
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視して、障害の発生件数が減少しているか増加しているかを確認してください。
- 攻撃であることが確認された場合は、attribute で
anomalous_suspicious_ipsそのIPアドレスをブロックしてください。 - 不審なIPアドレスから正常にログインされたアカウントは、乗っ取られる可能性があります。 各不審なIPアドレスに対応する、侵害された可能性のあるユーザー名は、attribute 内に
compromised_users記載されています。 侵害されたアカウントについては、パスワードをリセットするか、アカウントを無効にするかを選択してください。
- サンプル・アラート
{ "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH", "rule_name": "Multiple failed login from an IP address (Auth)", "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.", "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 5597, "normal_traffic_volume": 0, "start_time": 1673370000000, "end_time": 1673373600000, "date": "2023-01-10", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 17, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]", "anomalous_suspicious_ips": [ "165.155.173.54" ], "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}", "xfe_threat_insight": "Found 0 known malicious IPs.", "xfe_confirmed_malicious_ips": [], ], "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}", "most_significant_tenantname": [ "idpcloud.nycenet.edu" ], "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}", "most_significant_data_cause": [ "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"." ], "top5_affected_data_sourcetype": "{'clouddirectory': 5596}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{'SMS OTP': 1}", "most_significant_data_mfamethod": [ "SMS OTP" ], "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}", "most_significant_data_username": [ "aari" ], "top5_affected_geoip_country_name": "{'United States': 5597}", "most_significant_geoip_country_name": [ "United States" ] }
テナントごとに、SSO/認証の失敗イベントが通常より多く確認された
このアラートは、ブルートフォース攻撃またはクレデンシャルスタッフィング攻撃、あるいは運用上の問題のいずれかを示しています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| 不審なIPアドレスのリストを特定し、これらのIPアドレスからのログインリクエストが成功したかどうかを確認する |
|
| アラートの深刻度を特定する |
|
| 障害の原因に関する情報を取得する | top5_affected_data_cause 障害が運用上の問題によるものかどうかを判断するのに役立ちます。 |
| 影響を受けるユーザー名を特定する | top5_affected_data_username 攻撃中に最も頻繁に使用される上位5つのアカウントを示しています。 |
| 影響を受けるアプリケーションを特定する | top5_affected_data_applicationname |
| 交通量を把握する | normal_traffic_volume 過去14日間のイベント数に基づく基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
前述の調査基準や属性に加え、以下の詳細についても相互に照合してください:
|
|
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視して、障害の発生件数が減少しているか増加しているかを確認してください。
- 攻撃であることが確認された場合は、attribute で
anomalous_suspicious_ipsそのIPアドレスをブロックしてください。 - 不審なIPアドレスから正常にログインされたアカウントは、乗っ取られる可能性があります。 各不審なIPアドレスに対応する、侵害された可能性のあるユーザー名は、attribute 内に
compromised_users記載されています。 侵害されたアカウントについては、パスワードをリセットするか、アカウントを無効にするかを選択してください。
- サンプル・アラート
{ "rule_id": "TENANT_FAILED_SSO_EVENTS", "rule_name": "Abnormal number of failed SSO events observed per tenant.", "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 24456, "normal_traffic_volume": 711, "start_time": 1671444000000, "end_time": 1671447600000, "date": "2022-12-19", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 88, "impacted_apps_count": 37, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], ['122.161.79.4', 100.0, 11, 0]]", "anomalous_suspicious_ips": [ "122.161.79.4", "177.241.73.204", "89.64.54.76" ], "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`", "xfe_confirmed_malicious_ips": ['122.161.79.4'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 25167}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 25167}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}", "most_significant_data_scope": [ "openid email" ], "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}", "most_significant_data_cause": [ "CSIAQ0178E Login is required. The request cannot be processed without authentication." ], "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}", "most_significant_data_applicationname": [ "Gaz-HAT-Production" ], "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}", "most_significant_data_client_name": [ "Gaz-HAT-Production" ], "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}", "most_significant_data_redirecturl": [ "https://gaz.tuc.stglabs.ibm.com/oidc/callback/" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}", "most_significant_data_username": [ "UNKNOWN" ], "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}", "most_significant_geoip_country_name": [ "Mexico" ] }
同一ユーザーによる頻繁な認証
このアラートは、ブルートフォース攻撃またはクレデンシャルスタッフィング攻撃、あるいは運用上の問題のいずれかを示しています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| アラートの深刻度を特定する |
|
| 影響を受けるユーザー名を特定する | top5_affected_data_username 攻撃中に最も頻繁に使用される上位5つのアカウントを示しています。 |
| 影響を受けるアプリケーションを特定する | top5_affected_data_applicationname |
| 交通量を把握する | normal_traffic_volume 過去7日間のイベント数に基づいて基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
前述の調査基準や属性に加え、以下の詳細についても相互に照合してください:
|
|
- 既知の分析パターン
- 単一のテナントに対して、同じ時間間隔で複数のアラートが送信されているかどうかを確認します。 「はい」の場合は、そのテナントに関する既知の運用上の問題がないか確認してください。そうでない場合は、属性を
top5_affected_data_applicationname確認して、アラートを発生させた原因となったアプリケーションを特定してください。 - 同じ送信元(つまり、同じテナント、 URL、およびユーザー名)から数時間にわたりアラートが送信され続けている場合、そのユーザーを一定期間(例:24時間)ブロックすることができます。
- IPアドレスとアプリケーション名の分布を確認し、分散型攻撃であるかどうかを特定してください。
- 単一のテナントに対して、同じ時間間隔で複数のアラートが送信されているかどうかを確認します。 「はい」の場合は、そのテナントに関する既知の運用上の問題がないか確認してください。そうでない場合は、属性を
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視してください。 ユーザー名またはパスワードの認証に失敗したトラフィックが増加しているかどうかを確認してください。
- トラフィックが不審であると判断された場合、予防的な対応として、アラートが発生したアカウントをブロックしてください。
- サンプル・アラート
{ "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH", "rule_name": "Frequent authentication from single user (Auth)", "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]", "component": "Login activity", "anomalous_event_count": 16283, "normal_traffic_volume": 0, "start_time": 1672048800000, "end_time": 1672052400000, "date": "2022-12-26", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 1, "anomalous_suspicious_ips": [ "12.153.148.57" ], "top5_affected_tenantname": "{'tenant1.abc.com': 16283}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}", "most_significant_data_cause": [ "Authenticated user \"MSurk\" successfully." ], "top5_affected_data_subtype": "{'user_password': 16283}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_sourcetype": "{'clouddirectory': 16283}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_origin": "{'12.153.148.57': 16283}", "most_significant_data_origin": [ "12.153.148.57" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{}", "most_significant_data_mfamethod": [], "top5_affected_data_username": "{'MSurk': 16283}", "most_significant_data_username": [ "MSurk" ], "top5_affected_geoip_country_name": "{'United States': 16283}", "most_significant_geoip_country_name": [ "United States" ] }
MFAデバイスの登録数が異常
このアラートは、ブルートフォース攻撃を示しています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| アラートの深刻度を特定する |
|
| 過去1時間で最も使用されたmfamethodを特定する | top5_affected_data_mfamethod |
- 既知の分析パターン
- このアラートは、管理イベントが発生した際に生成されます。 アラートが見つかった場合は、それが有効なユーザーによるものかどうかを確認してください。 ユーザーが有効な場合、認証の種類 (
top5_affected_data_mfamethod) と登録済みデバイスの数 (anomalous_event_count) を特定します。不審な点が見つかった場合は、適切な措置を講じます。
- このアラートは、管理イベントが発生した際に生成されます。 アラートが見つかった場合は、それが有効なユーザーによるものかどうかを確認してください。 ユーザーが有効な場合、認証の種類 (
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視してください。 ユーザー名またはパスワードの認証に失敗したトラフィックが増加しているかどうかを確認してください。
- トラフィックが不審であると判断された場合、予防的な対応として、アラートが発生したアカウントをブロックしてください。
- ユーザーが不審なものと判断された場合、そのユーザーはブロックされるか、アクセスポリシーのルールに従って処理が進められます。 詳細については、「脅威に基づくユーザーブロック」 を参照してください。
- サンプル・アラート
{ "rule_name": "Abnormal number of device enrollments", "rule_id": "ABNORMAL_DEVICE_ENROLLMENT", "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.", "severity": "critical", "date": "2023-01-12", "start_time": "2023-01-12 17:00:00", "end_time": "2023-01-12 18:00:00", "component": "Login activity", "normal_traffic_volume": 0, "anomalous_event_count": 20, "impacted_user_count": 1, "index": "event-management-*", "most_significant_data_subject": ["326000DLNK"], "most_significant_data_origin": [ "129.41.58.3" ], "top5_affected_data_username": "{'Henry': 20}", "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]", "most_significant_data_mfamethod": [ "Voice OTP" ], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 20}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_origin": "{'129.41.58.3': 20}", "anomalous_suspicious_ips": [ "129.41.58.3" ], "top5_affected_geoip_country_name": "{'United States': 20}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{'Voice OTP': 20}", "most_significant_data_username": [ "Henry" ] }
不正取得された認証情報の複数回にわたる悪用
このアラートは、アカウント乗っ取り、ブルートフォース攻撃、クレデンシャルスタッフィングを示しています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| アラートの深刻度を特定する |
|
| 侵害された認証情報を使用しようとしているIPアドレスを特定する | 属性において source 。 |
| 影響を受けるユーザー名を特定する | top5_affected_data_username 攻撃中に最も頻繁に使用される上位5つのアカウントを示しています。 |
| 交通量を把握する | normal_traffic_volume 過去7日間のイベント数に基づいて基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
- 既知の分析パターン
- form
top5_affected_data_username属性から、そのIPアドレスが侵害された認証情報を使用して複数のユーザーにアクセスしようとしているかどうかを確認します。 その場合、そのIPアドレスを一定期間ブロックすることができます。 - 1時間に複数のIPアドレスから複数のアラートが検出された場合、または同じIPアドレスが または
credential_stuffingルールによってMultiple_failed_login検出された場合は、ブルートフォース攻撃やクレデンシャルスタッフィングの可能性があります。
- form
- 考えられる是正措置
- 攻撃かどうか判断がつかない場合は、トラフィックを監視してください。 ユーザー名またはパスワードの認証に失敗したトラフィックが増加しているかどうかを確認してください。
- 攻撃期間中に同じIPアドレスから特定のユーザーアカウントへのアクセスが成功していた場合は、そのユーザーをすべてのアクティブなセッションからログアウトさせ、パスワードの変更を促すか、予防的な対応としてそのユーザーを一時的に利用停止にしてください。
- 侵害された認証情報を使用して、そのIPアドレスから複数のユーザーがアクセスしている場合は、[
source属性]でそのIPアドレスをブロックしてください。
- サンプル・アラート
{ "rule_id": "COMPROMISED_CREDENTIALS", "rule_name": "Multiple use of compromised credentials", "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.", "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]", "component": "Login activity", "severity": "critical", "impacted_user_count": 1, "anomalous_event_count": 100, "normal_traffic_volume": 0, "date": "2023-02-08", "top5_affected_data_scope": "{}", "rule_attribute": "compromised_credentials", "top5_affected_data_username": "{'Henry': 100}", "start_time": "2023-02-08 21:00:00", "end_time": "2023-02-08 22:00:00", "index": "event-authentication-*", "most_significant_data_mfamethod": [], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 100}", "top5_affected_data_providerid": "{}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "most_significant_data_sourcetype": [ "clouddirectory" ], "most_significant_data_scope": [], ], "top5_affected_data_subtype": "{'user_password': 100}", "most_significant_data_subtype": [ "user_password" ], "most_significant_data_providerid": [], "top5_affected_geoip_country_name": "{'United States': 100}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{}", "top5_affected_data_sourcetype": "{'clouddirectory': 100}", "most_significant_data_username": [ "Henry" ] }
故障原因別の分類
このアラートは、運用上の問題を示しています。
- 検査
- トラフィックを分析し、それが実際の攻撃であるかどうか、また何らかの是正措置が必要かどうかを判断する。 関連する基準や属性について詳しく知りたい場合は、以下の詳細をご参照ください。 提示された状況に基づき、これが実際の攻撃であるかどうかを判断してください。
| 調査基準 | 属性 |
|---|---|
| 影響を受けるテナントを特定する URL | top5_affected_tenantname |
| アラートの深刻度を特定する |
|
| 影響を受けるユーザー名を特定する | top5_affected_data_username |
| 交通量を把握する | normal_traffic_volume 過去7日間のイベント数に基づいて基準値を提供し、これを過去1時間のイベント数と比較します。 normal_traffic_volumeanomalous_event_count は、過去1時間におけるイベント総数と の差です。 |
| 攻撃発生時や運用上の問題が発生した際に、影響を受けたコンポーネントのデバッグを行う | 調査の背景をより深く理解するために、以下の属性を分析することができます:
注: 上記の各属性に対応する値ごとのイベント数は、それぞれの
top5_affected_<FIELD NAME> 属性において |
| 影響を受けるアプリケーションと問題の種類を特定する | summary および 属性から top5_affected_data_applicationname 。 |
- 考えられる是正措置
- 運用上の問題によっては、Verify管理コンソールの設定変更や、Verifyサポートチームへの問い合わせが必要になる場合があります。
- サンプル・アラート
{ "rule_id": "CAUSE_OF_SSO_FAILURE", "rule_name": "Grouping by the cause of failure (SSO)", "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.", "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 11314, "normal_traffic_volume": 1595, "start_time": 1674054000000, "end_time": 1674057600000, "date": "2023-01-18", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 7774, "impacted_apps_count": 20, ], "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}", "most_significant_data_subtype": [ "saml" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}", "most_significant_data_cause": [ "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol." ], "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}", "most_significant_data_applicationname": [ "ABC-365" ], "top5_affected_data_client_name": "{}", "most_significant_data_client_name": [], "top5_affected_data_redirecturl": "{}", "most_significant_data_redirecturl": [], "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}", "most_significant_data_providerid": [ "UNKNOWN" ], "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}", "most_significant_data_username": [ "UNKNOWN", "jer@abc.com", "crow@abc.com" ], "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}", "most_significant_geoip_country_name": [ "United States" ] }
注: 監査イベントの詳細については、 「脅威イベントのペイロード」 を参照してください。
脅威の検出に関する詳細については、 「Verify における脅威の検出」 を参照してください。