脅威イベント
IBM® Verify は、トラフィックが疑わしいかどうかを判別するためのアラートを生成します。 また、トラフィックが疑わしいと判断された場合のプロアクティブな修復アクションに関する詳細も提供します。
IBM Verify は、以下のタイプのアラートを生成します。
潜在的な資格情報の詰め込み (PCS) 攻撃
このアラートは、資格情報の荷積み攻撃の可能性を示します。 ユーザー名パスワードの失敗の突然の増加が検出されました。 アクティビティー・レベルは、過去 14 日間の通常の SSO 動作または認証イベントと比較されます。 アラートには、アタック中に検出されたすべてのルーター IP アドレスの詳細が含まれます。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| 疑わしい IP のリストを特定し、それらの IP からのログイン要求が成功したかどうかを検証します。 |
|
| アラートの重大度の識別 |
|
| 失敗の原因に関する詳細情報の取り出し | top5_affected_data_cause |
| 影響を受けるユーザー名の識別 | top5_affected_data_username は、攻撃時に主に使用された上位 5 件のアカウントを示しています。 |
| いずれかのアカウントが疑わしい IP から正常にアクセスされたかどうかを識別します | compromised_users |
| 影響を受けるアプリケーションの識別 | top5_affected_data_applicationname |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較した過去 14 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
- いくつかの既知の分析パターン
xfe_confirmed_malicious_ipsリストを識別します。 カテゴリー内で IP が検出された場合、その IP は直接ブロックされるか、信頼性の高い攻撃として報告される可能性があります。suspicious_ipsリスト内の IP の統計を調べます。- 失敗したイベントのほとんどが単一 IP からのものであり、残りのすべての失敗イベントの数が少ない場合は、誤ったユーザー名またはパスワードを構成してスクリプトまたはアプリケーションを実行した可能性があります (IP からアクセスされた有効なユーザー名を識別します)。 また、障害の原因を調べ、それが既知の問題の 1 つであるかどうかを
top5_affected_data_applicationnameで確認してください。 - 複数の IP で、疑わしい IP リストに重大な障害カウントが含まれている場合は、攻撃の可能性が高くなります。 アラート内の
top5_geoip_country_nameを識別します。また、高障害の疑わしい IP の国別およびユーザー名の分布も個別に識別します。 - 障害が特定のアプリケーションに関するものである場合は、アプリケーションの構成の誤りが原因である可能性があります。 アプリケーション所有者に確認してください。
- 失敗したイベントのほとんどが単一 IP からのものであり、残りのすべての失敗イベントの数が少ない場合は、誤ったユーザー名またはパスワードを構成してスクリプトまたはアプリケーションを実行した可能性があります (IP からアクセスされた有効なユーザー名を識別します)。 また、障害の原因を調べ、それが既知の問題の 1 つであるかどうかを
- 認証イベントの場合、ほとんどの障害の原因に
INVALID_CREDSのようなストリングが含まれていると、攻撃である可能性があります。
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターします。 ユーザー名またはパスワードの障害によるトラフィックが増加しているかどうかを判別します。
- アタックとして確認された場合は、
anomalous_suspicious_ips属性内の IP をブロックします。 - 疑わしい IP から正常にログインされたアカウントは、危険にさらされる可能性があります。 それぞれの疑わしい IP に対応する、潜在的にセキュリティーの危険があるユーザー名は、
compromised_users属性で見つけることができます。 漏えいしたアカウントについて、パスワードをリセットするか、これらのアカウントを無効にするかを決定します。
- サンプル・アラート
{ "rule_id": "CREDENTIAL_STUFFING_SSO", "rule_name": "Potential credential stuffing attack (SSO)", "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 31348, "normal_traffic_volume": 1004, "start_time": 1669222800000, "end_time": 1669226400000, "date": "2022-11-23", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 32090, "impacted_apps_count": 5, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]", "anomalous_suspicious_ips": [ "169.50.223.22", "169.50.223.24", "169.59.129.116", "169.59.129.120", "52.117.163.162" ], "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}", "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.", "xfe_confirmed_malicious_ips": ['52.117.163.162'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 32352}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 32352}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid': 32352}", "most_significant_data_scope": [ "openid" ], "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}", "most_significant_data_cause": [ "CSIAQ0264E The user name or password is invalid." ], "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_applicationname": [ "urx_next" ], "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_client_name": [ "urx_next" ], "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}", "most_significant_data_redirecturl": [ "UNKNOWN" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}", "most_significant_data_username": [ "wsa@ibm.com" ], "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}", "most_significant_geoip_country_name": [ "United States" ] }
IP アドレスからの複数回のログイン試行の失敗
このアラートは、ブルート・フォース・アタックまたは資格情報の荷積みアタックのいずれかを示します。 IP アドレスからのログイン失敗の突然の増加が検出されました。 アクティビティー・レベルは、過去 7 日間の通常の SSO 動作または認証イベントと比較されます。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| 疑わしい IP のリストを特定し、それらの IP からのログイン要求が成功したかどうかを検証します。 |
|
| アラートの重大度の識別 |
|
| 失敗の原因に関する情報の取り出し | top5_affected_data_cause は、障害が何らかの操作上の問題によるものかどうかを判別するのに役立ちます。 |
| 影響を受けるユーザー名の識別 | top5_affected_data_username は、攻撃時に主に使用された上位 5 件のアカウントを示しています。 |
| いずれかのアカウントが疑わしい IP から正常にアクセスされたかどうかを識別します | compromised_users |
| 影響を受けるアプリケーションの識別 | top5_affected_data_applicationname |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較された過去 7 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
既に言及されている調査基準および属性に加えて、以下の詳細を相互検証します。
|
|
- いくつかの既知の分析パターン
xfe_confirmed_malicious_ipsリストを識別し、正の値が検出された場合は、その IP をブロックします。- その時間に生成された複数のログイン失敗アラートの数を確認し、
top5_affected_data_cause、top5_affected_data_applicationname、およびtop5_affected_data_usernameを識別します。- トラフィックが特定のアプリケーションおよび特定のユーザーからのものである場合、誰かが誤ったユーザー名/パスワードを構成し、何かのスクリプトを実行した可能性があります。 正当なトラフィックかどうかを確認します。
- トラフィックが複数のユーザーからのものである場合-IP をブロックします (VPN またはプロキシー IP アドレスの場合を除く)。 IP が VPN またはプロキシー IP の場合は、
top5_affected_data_causeを識別して、操作上の問題が原因であるかどうかを判別します。 - 1 時間に複数のアラートが検出された場合は、アラートごとに
top5_affected_tenantnameとtop5_affected_data_usernameを識別します。 単一のテナントおよび複数のユーザーからの複数の IP で最も多くの障害が発生している場合は、アタック、主要なアプリケーション、またはシステムの障害である可能性があります。
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターして、障害が減少しているか増加しているかを判別します。
- アタックとして確認された場合は、
anomalous_suspicious_ips属性内の IP をブロックします。 - 疑わしい IP から正常にログインされたアカウントは、危険にさらされる可能性があります。 それぞれの疑わしい IP に対応する、潜在的にセキュリティーの危険があるユーザー名は、
compromised_users属性で見つけることができます。 漏えいしたアカウントについて、パスワードをリセットするか、これらのアカウントを無効にするかを決定します。
- サンプル・アラート
{ "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH", "rule_name": "Multiple failed login from an IP address (Auth)", "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.", "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 5597, "normal_traffic_volume": 0, "start_time": 1673370000000, "end_time": 1673373600000, "date": "2023-01-10", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 17, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]", "anomalous_suspicious_ips": [ "165.155.173.54" ], "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}", "xfe_threat_insight": "Found 0 known malicious IPs.", "xfe_confirmed_malicious_ips": [], ], "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}", "most_significant_tenantname": [ "idpcloud.nycenet.edu" ], "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}", "most_significant_data_cause": [ "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"." ], "top5_affected_data_sourcetype": "{'clouddirectory': 5596}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{'SMS OTP': 1}", "most_significant_data_mfamethod": [ "SMS OTP" ], "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}", "most_significant_data_username": [ "aari" ], "top5_affected_geoip_country_name": "{'United States': 5597}", "most_significant_geoip_country_name": [ "United States" ] }
テナントごとに監視された、失敗した SSO/ 認証イベントの異常数
このアラートは、ブルート・フォース・アタックまたは資格情報の荷積みアタック、あるいは操作上の問題のいずれかを示します。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| 疑わしい IP のリストを特定し、それらの IP からのログイン要求が成功したかどうかを検証します。 |
|
| アラートの重大度の識別 |
|
| 失敗の原因に関する情報の取り出し | top5_affected_data_cause は、障害が何らかの操作上の問題によるものかどうかを判別するのに役立ちます。 |
| 影響を受けるユーザー名の識別 | top5_affected_data_username は、攻撃時に主に使用された上位 5 件のアカウントを示しています。 |
| 影響を受けるアプリケーションの識別 | top5_affected_data_applicationname |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較した過去 14 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
既に言及されている調査基準および属性に加えて、以下の詳細を相互検証します。
|
|
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターして、障害が減少しているか増加しているかを判別します。
- アタックとして確認された場合は、
anomalous_suspicious_ips属性内の IP をブロックします。 - 疑わしい IP から正常にログインされたアカウントは、危険にさらされる可能性があります。 それぞれの疑わしい IP に対応する、潜在的にセキュリティーの危険があるユーザー名は、
compromised_users属性で見つけることができます。 漏えいしたアカウントについて、パスワードをリセットするか、これらのアカウントを無効にするかを決定します。
- サンプル・アラート
{ "rule_id": "TENANT_FAILED_SSO_EVENTS", "rule_name": "Abnormal number of failed SSO events observed per tenant.", "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 24456, "normal_traffic_volume": 711, "start_time": 1671444000000, "end_time": 1671447600000, "date": "2022-12-19", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 88, "impacted_apps_count": 37, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], ['122.161.79.4', 100.0, 11, 0]]", "anomalous_suspicious_ips": [ "122.161.79.4", "177.241.73.204", "89.64.54.76" ], "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`", "xfe_confirmed_malicious_ips": ['122.161.79.4'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 25167}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 25167}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}", "most_significant_data_scope": [ "openid email" ], "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}", "most_significant_data_cause": [ "CSIAQ0178E Login is required. The request cannot be processed without authentication." ], "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}", "most_significant_data_applicationname": [ "Gaz-HAT-Production" ], "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}", "most_significant_data_client_name": [ "Gaz-HAT-Production" ], "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}", "most_significant_data_redirecturl": [ "https://gaz.tuc.stglabs.ibm.com/oidc/callback/" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}", "most_significant_data_username": [ "UNKNOWN" ], "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}", "most_significant_geoip_country_name": [ "Mexico" ] }
単一ユーザーからの頻繁な認証
このアラートは、ブルート・フォース・アタックまたは資格情報の荷積みアタック、あるいは操作上の問題のいずれかを示します。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| アラートの重大度の識別 |
|
| 影響を受けるユーザー名の識別 | top5_affected_data_username は、攻撃時に主に使用された上位 5 件のアカウントを示しています。 |
| 影響を受けるアプリケーションの識別 | top5_affected_data_applicationname |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較された過去 7 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
既に言及されている調査基準および属性に加えて、以下の詳細を相互検証します。
|
|
- いくつかの既知の分析パターン
- 1 つのテナントに対して複数のアラートが同じ間隔で着信しているかどうかを識別します。 「はい」の場合は、テナントの既知の運用上の問題がないか確認してください。そうでない場合は、
top5_affected_data_applicationname属性を調べて、アラートの生成を担当するアプリケーションを識別してください。 - 同じソース(つまり、同じURL とユーザー名)から何時間も警告が生成されている場合、ユーザーを一定期間ブロックすることができます(例えば、24時間)。
- 分散攻撃であるかどうかを識別するために、IP アドレスとアプリケーション名の配布を探します。
- 1 つのテナントに対して複数のアラートが同じ間隔で着信しているかどうかを識別します。 「はい」の場合は、テナントの既知の運用上の問題がないか確認してください。そうでない場合は、
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターします。 ユーザー名またはパスワードの障害によるトラフィックが増加しているかどうかを判別します。
- トラフィックが疑わしいと識別された場合は、プロアクティブな修復としてアラートが生成されたアカウントをブロックします。
- サンプル・アラート
{ "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH", "rule_name": "Frequent authentication from single user (Auth)", "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]", "component": "Login activity", "anomalous_event_count": 16283, "normal_traffic_volume": 0, "start_time": 1672048800000, "end_time": 1672052400000, "date": "2022-12-26", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 1, "anomalous_suspicious_ips": [ "12.153.148.57" ], "top5_affected_tenantname": "{'tenant1.abc.com': 16283}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}", "most_significant_data_cause": [ "Authenticated user \"MSurk\" successfully." ], "top5_affected_data_subtype": "{'user_password': 16283}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_sourcetype": "{'clouddirectory': 16283}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_origin": "{'12.153.148.57': 16283}", "most_significant_data_origin": [ "12.153.148.57" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{}", "most_significant_data_mfamethod": [], "top5_affected_data_username": "{'MSurk': 16283}", "most_significant_data_username": [ "MSurk" ], "top5_affected_geoip_country_name": "{'United States': 16283}", "most_significant_geoip_country_name": [ "United States" ] }
MFA デバイスの登録の異常数
このアラートは、ブルート・フォース・アタックを示します。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| アラートの重大度の識別 |
|
| 過去 1 時間で最も使用された mfamethod を識別します。 | top5_affected_data_mfamethod |
- いくつかの既知の分析パターン
- このアラートは、管理イベントで生成されます。 何らかのアラートが検出された場合は、それが有効なユーザーからのものかどうかを確認してください。 ユーザーが有効である場合は、認証のタイプ (
top5_affected_data_mfamethod) と登録されているデバイスの数 (anomalous_event_count) を確認します。 疑わしいと思われる場合は、アクションを実行してください。
- このアラートは、管理イベントで生成されます。 何らかのアラートが検出された場合は、それが有効なユーザーからのものかどうかを確認してください。 ユーザーが有効である場合は、認証のタイプ (
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターします。 ユーザー名またはパスワードの障害によるトラフィックが増加しているかどうかを判別します。
- トラフィックが疑わしいと識別された場合は、プロアクティブな修復としてアラートが生成されたアカウントをブロックします。
- サンプル・アラート
{ "rule_name": "Abnormal number of device enrollments", "rule_id": "ABNORMAL_DEVICE_ENROLLMENT", "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.", "severity": "critical", "date": "2023-01-12", "start_time": "2023-01-12 17:00:00", "end_time": "2023-01-12 18:00:00", "component": "Login activity", "normal_traffic_volume": 0, "anomalous_event_count": 20, "impacted_user_count": 1, "index": "event-management-*", "most_significant_data_origin": [ "129.41.58.3" ], "top5_affected_data_username": "{'Henry': 20}", "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]", "most_significant_data_mfamethod": [ "Voice OTP" ], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 20}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_origin": "{'129.41.58.3': 20}", "anomalous_suspicious_ips": [ "129.41.58.3" ], "top5_affected_geoip_country_name": "{'United States': 20}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{'Voice OTP': 20}", "most_significant_data_username": [ "Henry" ] }
漏えいした資格情報の複数使用
このアラートは、アカウントの乗っ取り、ブルート・フォース、資格情報の詰め込みを示します。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| アラートの重大度の識別 |
|
| 漏えいした資格情報を使用しようとしている IP アドレスを識別します。 | source 属性内。 |
| 影響を受けるユーザー名の識別 | top5_affected_data_username は、攻撃時に主に使用された上位 5 件のアカウントを示しています。 |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較された過去 7 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
- いくつかの既知の分析パターン
- 侵害された資格情報フォームの
top5_affected_data_username属性を使用して、IP が複数のユーザーにアクセスしようとしているかどうかを識別します。 「はい」の場合、IP は一定の期間ブロックされる可能性があります。 - 1 時間に複数の IP から複数のアラートが検出された場合、または同じ IP が
Multiple_failed_loginルールまたはcredential_stuffingルールによって検出された場合は、ブルート・フォース・アタックまたはクレデンシャル・スタッフィングである可能性があります。
- 侵害された資格情報フォームの
- 考えられる修復アクション
- 攻撃であるかどうかが不明な場合は、トラフィックをモニターします。 ユーザー名またはパスワードの障害によるトラフィックが増加しているかどうかを判別します。
- 同じ IP からの攻撃期間中に一部のユーザー・アカウントに正常にアクセスできた場合は、すべてのアクティブ・セッションからユーザーをログアウトし、パスワードの変更を求めるプロンプトを出すか、事前対応の修復として一時的にユーザーをブロックします。
- 漏えいした資格情報を使用して IP から複数のユーザーにアクセスしている場合は、
source属性で IP をブロックします。
- サンプル・アラート
{ "rule_id": "COMPROMISED_CREDENTIALS", "rule_name": "Multiple use of compromised credentials", "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.", "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]", "component": "Login activity", "severity": "critical", "impacted_user_count": 1, "anomalous_event_count": 100, "normal_traffic_volume": 0, "date": "2023-02-08", "top5_affected_data_scope": "{}", "rule_attribute": "compromised_credentials", "top5_affected_data_username": "{'Henry': 100}", "start_time": "2023-02-08 21:00:00", "end_time": "2023-02-08 22:00:00", "index": "event-authentication-*", "most_significant_data_mfamethod": [], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 100}", "top5_affected_data_providerid": "{}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "most_significant_data_sourcetype": [ "clouddirectory" ], "most_significant_data_scope": [], ], "top5_affected_data_subtype": "{'user_password': 100}", "most_significant_data_subtype": [ "user_password" ], "most_significant_data_providerid": [], "top5_affected_geoip_country_name": "{'United States': 100}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{}", "top5_affected_data_sourcetype": "{'clouddirectory': 100}", "most_significant_data_username": [ "Henry" ] }
失敗の原因によるグループ化
このアラートは、運用上の問題を示します。
- 検査
- トラフィックを分析して、実際の攻撃であるかどうか、および修復アクションが必要かどうかを把握します。 関連する基準と属性について詳しくは、以下の詳細を参照してください。 提供されたコンテキストに基づいて、実際の攻撃であるかどうかを判別します。
| 調査基準 | 属性 |
|---|---|
| 影響を受けたテナントURL を特定する | top5_affected_tenantname |
| アラートの重大度の識別 |
|
| 影響を受けるユーザー名の識別 | top5_affected_data_username |
| トラフィック・ボリュームの識別 | normal_traffic_volume は、過去 1 時間のイベントと比較された過去 7 日間のイベントに基づくベースライン・カウントを提供します。 anomalous_event_count は、過去 1 時間の合計イベント数と normal_traffic_volumeの合計イベント数の差です。 |
| 攻撃中または運用上の問題のために、影響を受けるコンポーネントをデバッグします。 | 以下の属性を分析して、調査のコンテキストをさらに取得することができます。
注: それぞれの top5_affected_<FIELD NAME> 属性内の上記の属性に対応する値ごとのイベントの数 |
| 影響を受けるアプリケーションと問題のタイプの特定 | top5_affected_data_applicationname 属性および summary 属性から。 |
- 考えられる修復アクション
- 運用上の問題によっては、Verify 管理コンソールまたは Verify サポート・チームの支援による構成変更が必要になる場合があります。
- サンプル・アラート
{ "rule_id": "CAUSE_OF_SSO_FAILURE", "rule_name": "Grouping by the cause of failure (SSO)", "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.", "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 11314, "normal_traffic_volume": 1595, "start_time": 1674054000000, "end_time": 1674057600000, "date": "2023-01-18", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 7774, "impacted_apps_count": 20, ], "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}", "most_significant_data_subtype": [ "saml" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}", "most_significant_data_cause": [ "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol." ], "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}", "most_significant_data_applicationname": [ "ABC-365" ], "top5_affected_data_client_name": "{}", "most_significant_data_client_name": [], "top5_affected_data_redirecturl": "{}", "most_significant_data_redirecturl": [], "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}", "most_significant_data_providerid": [ "UNKNOWN" ], "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}", "most_significant_data_username": [ "UNKNOWN", "jer@abc.com", "crow@abc.com" ], "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}", "most_significant_geoip_country_name": [ "United States" ] }
注: 監査イベントの詳細については、 「脅威イベントのペイロード」 を参照してください。
脅威検出の詳細については、 Verify の脅威検出を参照してください。