위협 이벤트
IBM® Verify 트래픽이 의심스러운지 판단하기 위해 경고를 생성합니다. 또한 트래픽이 의심스러운 것으로 판명될 경우 취해야 할 사전 예방적 조치에 대한 세부 정보도 제공합니다.
IBM Verify 다음과 같은 유형의 알림을 생성합니다.
잠재적 자격 증명 재사용(PCS) 공격
이 경고는 잠재적인 자격 증명 재사용 공격 가능성을 나타냅니다. 사용자 이름 및 비밀번호 입력 실패 건수가 갑자기 증가한 것으로 확인되었습니다. 활동 수준은 지난 14일간의 일반적인 SSO 동작 또는 인증 이벤트와 비교됩니다. 이 경고에는 공격 중에 발견된 모든 악성 IP 주소에 대한 세부 정보가 포함되어 있습니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 의심스러운 IP 목록을 확인하고, 해당 IP에서 로그인 요청이 성공했는지 여부를 확인하십시오 |
|
| 경보의 심각도 확인 |
|
| 오류 원인에 대한 추가 정보를 확인하세요 | top5_affected_data_cause |
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username 공격 시 주로 사용되는 상위 5개 계정을 보여줍니다. |
| 의심스러운 IP 주소에서 계정에 성공적으로 접속된 사례가 있는지 확인하십시오 | compromised_users |
| 영향을 받은 애플리케이션을 확인하십시오 | top5_affected_data_applicationname |
| 교통량 파악 | normal_traffic_volume 지난 14일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
- 알려진 몇 가지 분석 패턴
- 목록 확인
xfe_confirmed_malicious_ips. 해당 카테고리에서 IP 주소가 발견될 경우, 해당 IP를 직접 차단하거나 높은 신뢰도로 공격으로 신고할 수 있습니다. - 목록에
suspicious_ips있는 IP 주소의 통계를 확인해 보세요.- 실패한 이벤트의 대부분이 특정 IP 주소에서 발생했고, 나머지 IP 주소들의 실패 건수가 모두 적다면, 누군가 잘못된 사용자 이름이나 비밀번호를 설정하여 스크립트나 애플리케이션을 실행했을 가능성이 있습니다(해당 IP 주소에서 접속한 유효한 사용자 이름을 확인하십시오). 또한, 오류 원인을 확인하고 이것이 알려진 문제 중 하나인지 확인해 보세요
top5_affected_data_applicationname. - 의심스러운 IP 목록에 심각한 오류 횟수가 많은 IP가 여러 개 있다면, 이는 공격일 가능성이 매우 높습니다. 경보에 포함된 를
top5_geoip_country_name확인하고, 오류 발생 빈도가 높은 의심 IP 주소들의 국가별 및 사용자 이름별 분포를 각각 분석하십시오. - 오류가 특정 애플리케이션에서 발생하는 것이라면, 해당 애플리케이션의 설정 오류 때문일 수 있습니다. 애플리케이션 담당자에게 확인해 보세요.
- 실패한 이벤트의 대부분이 특정 IP 주소에서 발생했고, 나머지 IP 주소들의 실패 건수가 모두 적다면, 누군가 잘못된 사용자 이름이나 비밀번호를 설정하여 스크립트나 애플리케이션을 실행했을 가능성이 있습니다(해당 IP 주소에서 접속한 유효한 사용자 이름을 확인하십시오). 또한, 오류 원인을 확인하고 이것이 알려진 문제 중 하나인지 확인해 보세요
- 인증 관련 이벤트의 경우, 대부분의 실패 원인에 와 같은
INVALID_CREDS문자열이 포함되어 있다면 이는 공격일 가능성이 있습니다.
- 목록 확인
- 가능한 시정 조치
- 공격인지 확실하지 않다면 트래픽을 모니터링하십시오. 사용자 이름 또는 비밀번호 오류가 발생하는 트래픽이 증가하고 있는지 확인하십시오.
- 공격으로 확인될 경우, 해당
anomalous_suspicious_ips속성에서 해당 IP를 차단하십시오. - 의심스러운 IP 주소에서 정상적으로 로그인한 계정은 해킹당할 위험이 있습니다. 각 의심스러운 IP에 해당하는 보안이 침해되었을 가능성이 있는 사용자 이름은 속성에서
compromised_users확인할 수 있습니다. 해킹당한 계정의 경우, 비밀번호를 재설정할지 아니면 해당 계정을 비활성화할지 결정하십시오.
- 샘플 경보
{ "rule_id": "CREDENTIAL_STUFFING_SSO", "rule_name": "Potential credential stuffing attack (SSO)", "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 31348, "normal_traffic_volume": 1004, "start_time": 1669222800000, "end_time": 1669226400000, "date": "2022-11-23", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 32090, "impacted_apps_count": 5, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]", "anomalous_suspicious_ips": [ "169.50.223.22", "169.50.223.24", "169.59.129.116", "169.59.129.120", "52.117.163.162" ], "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}", "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.", "xfe_confirmed_malicious_ips": ['52.117.163.162'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 32352}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 32352}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid': 32352}", "most_significant_data_scope": [ "openid" ], "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}", "most_significant_data_cause": [ "CSIAQ0264E The user name or password is invalid." ], "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_applicationname": [ "urx_next" ], "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}", "most_significant_data_client_name": [ "urx_next" ], "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}", "most_significant_data_redirecturl": [ "UNKNOWN" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}", "most_significant_data_username": [ "wsa@ibm.com" ], "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}", "most_significant_geoip_country_name": [ "United States" ] }
해당 IP 주소에서 여러 차례 로그인 시도가 실패했습니다
이 경고는 무차별 대입 공격 또는 자격 증명 재사용 공격 중 하나를 나타냅니다. 특정 IP 주소에서 로그인 실패 건수가 급격히 증가한 것이 감지되었습니다. 활동 수준은 지난 7일간의 일반적인 SSO 동작 또는 인증 이벤트와 비교됩니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 의심스러운 IP 목록을 확인하고, 해당 IP에서 로그인 요청이 성공했는지 여부를 확인하십시오 |
|
| 경보의 심각도 확인 |
|
| 오류 원인에 대한 정보를 조회합니다 | top5_affected_data_cause 운영상의 문제로 인해 장애가 발생했는지 여부를 판단하는 데 도움이 됩니다. |
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username 공격 시 주로 사용되는 상위 5개 계정을 보여줍니다. |
| 의심스러운 IP 주소에서 계정에 성공적으로 접속된 사례가 있는지 확인하십시오 | compromised_users |
| 영향을 받은 애플리케이션을 확인하십시오 | top5_affected_data_applicationname |
| 교통량 파악 | normal_traffic_volume 지난 7일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
앞서 언급한 조사 기준 및 속성 외에도 다음 세부 사항을 교차 확인하십시오:
|
|
- 알려진 몇 가지 분석 패턴
- 목록을 확인하고
xfe_confirmed_malicious_ips, 일치하는 IP가 발견되면 해당 IP를 차단합니다. top5_affected_data_cause해당 시간대에 생성된 ‘다중 로그인 실패’ 알림의 수를 확인한 다음,top5_affected_data_applicationname, 및top5_affected_data_username을 파악하십시오.- 트래픽이 특정 애플리케이션과 특정 사용자로부터 발생한 것이라면, 누군가 잘못된 사용자 이름이나 비밀번호를 입력하고 스크립트를 실행했을 가능성이 있습니다. 이 트래픽이 정상적인 것인지 확인하십시오.
- 트래픽이 여러 사용자로부터 발생하는 경우 - 해당 IP를 차단하십시오(VPN이나 프록시 IP 주소인 경우는 제외). 해당 IP가 VPN 또는 프록시 IP인 경우, 운영상의 문제로 인한 것인지 확인하십시오
top5_affected_data_cause. - 1시간 내에 여러 개의 알림이 발견된 경우, 각 알림에 대해 다음
top5_affected_data_username사항을 확인하십시오top5_affected_tenantname. 단일 테넌트에 대해 여러 IP에서 다수의 오류가 발생하고, 이는 여러 사용자로부터 비롯된 것이라면, 이는 공격이거나 애플리케이션 또는 시스템의 중대한 장애일 가능성이 있습니다.
- 목록을 확인하고
- 가능한 시정 조치
- 공격인지 확실하지 않다면, 트래픽을 모니터링하여 장애 발생 건수가 줄어들고 있는지 늘어나고 있는지 확인하십시오.
- 공격으로 확인될 경우, 해당
anomalous_suspicious_ips속성에서 해당 IP를 차단하십시오. - 의심스러운 IP 주소에서 정상적으로 로그인한 계정은 해킹당할 위험이 있습니다. 각 의심스러운 IP에 해당하는 보안이 침해되었을 가능성이 있는 사용자 이름은 속성에서
compromised_users확인할 수 있습니다. 해킹당한 계정의 경우, 비밀번호를 재설정할지 아니면 해당 계정을 비활성화할지 결정하십시오.
- 샘플 경보
{ "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH", "rule_name": "Multiple failed login from an IP address (Auth)", "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.", "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 5597, "normal_traffic_volume": 0, "start_time": 1673370000000, "end_time": 1673373600000, "date": "2023-01-10", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 17, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]", "anomalous_suspicious_ips": [ "165.155.173.54" ], "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}", "xfe_threat_insight": "Found 0 known malicious IPs.", "xfe_confirmed_malicious_ips": [], ], "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}", "most_significant_tenantname": [ "idpcloud.nycenet.edu" ], "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}", "most_significant_data_cause": [ "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"." ], "top5_affected_data_sourcetype": "{'clouddirectory': 5596}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{'SMS OTP': 1}", "most_significant_data_mfamethod": [ "SMS OTP" ], "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}", "most_significant_data_username": [ "aari" ], "top5_affected_geoip_country_name": "{'United States': 5597}", "most_significant_geoip_country_name": [ "United States" ] }
테넌트당 비정상적으로 많은 수의 SSO/인증 실패 이벤트가 감지됨
이 경고는 무차별 대입 공격이나 자격 증명 재사용 공격, 또는 운영상의 문제를 나타냅니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 의심스러운 IP 목록을 확인하고, 해당 IP에서 로그인 요청이 성공했는지 여부를 확인하십시오 |
|
| 경보의 심각도 확인 |
|
| 오류 원인에 대한 정보를 조회합니다 | top5_affected_data_cause 운영상의 문제로 인해 장애가 발생했는지 여부를 판단하는 데 도움이 됩니다. |
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username 공격 시 주로 사용되는 상위 5개 계정을 보여줍니다. |
| 영향을 받은 애플리케이션을 확인하십시오 | top5_affected_data_applicationname |
| 교통량 파악 | normal_traffic_volume 지난 14일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
앞서 언급한 조사 기준 및 속성 외에도 다음 세부 사항을 교차 확인하십시오:
|
|
- 가능한 시정 조치
- 공격인지 확실하지 않다면, 트래픽을 모니터링하여 장애 발생 건수가 줄어들고 있는지 늘어나고 있는지 확인하십시오.
- 공격으로 확인될 경우, 해당
anomalous_suspicious_ips속성에서 해당 IP를 차단하십시오. - 의심스러운 IP 주소에서 정상적으로 로그인한 계정은 해킹당할 위험이 있습니다. 각 의심스러운 IP에 해당하는 보안이 침해되었을 가능성이 있는 사용자 이름은 속성에서
compromised_users확인할 수 있습니다. 해킹당한 계정의 경우, 비밀번호를 재설정할지 아니면 해당 계정을 비활성화할지 결정하십시오.
- 샘플 경보
{ "rule_id": "TENANT_FAILED_SSO_EVENTS", "rule_name": "Abnormal number of failed SSO events observed per tenant.", "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 24456, "normal_traffic_volume": 711, "start_time": 1671444000000, "end_time": 1671447600000, "date": "2022-12-19", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 88, "impacted_apps_count": 37, "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], ['122.161.79.4', 100.0, 11, 0]]", "anomalous_suspicious_ips": [ "122.161.79.4", "177.241.73.204", "89.64.54.76" ], "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`", "xfe_confirmed_malicious_ips": ['122.161.79.4'], ], "top5_affected_tenantname": "{'tenant1.abc.com': 25167}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'oidc': 25167}", "most_significant_data_subtype": [ "oidc" ], "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}", "most_significant_data_scope": [ "openid email" ], "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}", "most_significant_data_cause": [ "CSIAQ0178E Login is required. The request cannot be processed without authentication." ], "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}", "most_significant_data_applicationname": [ "Gaz-HAT-Production" ], "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}", "most_significant_data_client_name": [ "Gaz-HAT-Production" ], "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}", "most_significant_data_redirecturl": [ "https://gaz.tuc.stglabs.ibm.com/oidc/callback/" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}", "most_significant_data_username": [ "UNKNOWN" ], "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}", "most_significant_geoip_country_name": [ "Mexico" ] }
한 사용자가 자주 인증하는 경우
이 경고는 무차별 대입 공격이나 자격 증명 재사용 공격, 또는 운영상의 문제를 나타냅니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 경보의 심각도 확인 |
|
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username 공격 시 주로 사용되는 상위 5개 계정을 보여줍니다. |
| 영향을 받은 애플리케이션을 확인하십시오 | top5_affected_data_applicationname |
| 교통량 파악 | normal_traffic_volume 지난 7일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
앞서 언급한 조사 기준 및 속성 외에도 다음 세부 사항을 교차 확인하십시오:
|
|
- 알려진 몇 가지 분석 패턴
- 단일 테넌트에 대해 동일한 시간 간격으로 여러 개의 알림이 수신되고 있는지 확인하십시오. 그렇다면 해당 테넌트와 관련된 알려진 운영상의 문제가 있는지 확인하고, 그렇지 않다면 속성을
top5_affected_data_applicationname확인하여 경보를 발생시킨 애플리케이션을 파악하십시오. - 경보가 동일한 소스(즉, 동일한 테넌트 URL 및 사용자 이름)에서 여러 시간 동안 발생하고 있는 경우, 해당 사용자를 일정 기간(예: 24시간) 동안 차단할 수 있습니다.
- IP 주소와 애플리케이션 이름의 분포를 분석하여 분산 공격인지 확인하십시오.
- 단일 테넌트에 대해 동일한 시간 간격으로 여러 개의 알림이 수신되고 있는지 확인하십시오. 그렇다면 해당 테넌트와 관련된 알려진 운영상의 문제가 있는지 확인하고, 그렇지 않다면 속성을
- 가능한 시정 조치
- 공격인지 확실하지 않다면 트래픽을 모니터링하십시오. 사용자 이름 또는 비밀번호 오류가 발생하는 트래픽이 증가하고 있는지 확인하십시오.
- 트래픽이 의심스러운 것으로 판명될 경우, 사전 예방적 조치로 해당 경보가 발생한 계정을 차단하십시오.
- 샘플 경보
{ "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH", "rule_name": "Frequent authentication from single user (Auth)", "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.", "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]", "component": "Login activity", "anomalous_event_count": 16283, "normal_traffic_volume": 0, "start_time": 1672048800000, "end_time": 1672052400000, "date": "2022-12-26", "severity": "critical", "index": "event-authentication-*", "impacted_user_count": 1, "anomalous_suspicious_ips": [ "12.153.148.57" ], "top5_affected_tenantname": "{'tenant1.abc.com': 16283}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}", "most_significant_data_cause": [ "Authenticated user \"MSurk\" successfully." ], "top5_affected_data_subtype": "{'user_password': 16283}", "most_significant_data_subtype": [ "user_password" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_sourcetype": "{'clouddirectory': 16283}", "most_significant_data_sourcetype": [ "clouddirectory" ], "top5_affected_data_origin": "{'12.153.148.57': 16283}", "most_significant_data_origin": [ "12.153.148.57" ], "top5_affected_data_providerid": "{}", "most_significant_data_providerid": [], "top5_affected_data_grant_type": "{}", "most_significant_data_grant_type": [], "top5_affected_data_mfamethod": "{}", "most_significant_data_mfamethod": [], "top5_affected_data_username": "{'MSurk': 16283}", "most_significant_data_username": [ "MSurk" ], "top5_affected_geoip_country_name": "{'United States': 16283}", "most_significant_geoip_country_name": [ "United States" ] }
MFA 기기 등록 건수가 비정상적으로 많음
이 경고는 무차별 대입 공격을 나타냅니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 경보의 심각도 확인 |
|
| 지난 1시간 동안 가장 많이 사용된 mfamethod를 확인하세요 | top5_affected_data_mfamethod |
- 알려진 몇 가지 분석 패턴
- 이 알림은 관리 이벤트 발생 시 생성됩니다. 경고가 발견되면, 해당 경고가 유효한 사용자로부터 온 것인지 확인하십시오. 사용자가 유효한 경우, 인증 유형(
top5_affected_data_mfamethod)과 등록된 기기 수(anomalous_event_count)를 확인합니다. 의심스러운 점이 발견되면 조치를 취합니다.
- 이 알림은 관리 이벤트 발생 시 생성됩니다. 경고가 발견되면, 해당 경고가 유효한 사용자로부터 온 것인지 확인하십시오. 사용자가 유효한 경우, 인증 유형(
- 가능한 시정 조치
- 공격인지 확실하지 않다면 트래픽을 모니터링하십시오. 사용자 이름 또는 비밀번호 오류가 발생하는 트래픽이 증가하고 있는지 확인하십시오.
- 트래픽이 의심스러운 것으로 판명될 경우, 사전 예방적 조치로 해당 경보가 발생한 계정을 차단하십시오.
- 사용자가 의심스러운 것으로 판명될 경우, 차단되거나 액세스 정책 규칙에 명시된 대로 조치가 진행됩니다. 자세한 내용은 ‘위협 기반 사용자 차단’을 참조하십시오.
- 샘플 경보
{ "rule_name": "Abnormal number of device enrollments", "rule_id": "ABNORMAL_DEVICE_ENROLLMENT", "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.", "severity": "critical", "date": "2023-01-12", "start_time": "2023-01-12 17:00:00", "end_time": "2023-01-12 18:00:00", "component": "Login activity", "normal_traffic_volume": 0, "anomalous_event_count": 20, "impacted_user_count": 1, "index": "event-management-*", "most_significant_data_subject": ["326000DLNK"], "most_significant_data_origin": [ "129.41.58.3" ], "top5_affected_data_username": "{'Henry': 20}", "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]", "most_significant_data_mfamethod": [ "Voice OTP" ], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 20}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_origin": "{'129.41.58.3': 20}", "anomalous_suspicious_ips": [ "129.41.58.3" ], "top5_affected_geoip_country_name": "{'United States': 20}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{'Voice OTP': 20}", "most_significant_data_username": [ "Henry" ] }
유출된 인증 정보의 다중 사용
이 경고는 계정 탈취, 무차별 대입 공격, 자격 증명 재사용을 나타냅니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 경보의 심각도 확인 |
|
| 해킹당한 인증 정보를 사용하려는 IP 주소를 확인하십시오 | 속성에서 source . |
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username 공격 시 주로 사용되는 상위 5개 계정을 보여줍니다. |
| 교통량 파악 | normal_traffic_volume 지난 7일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
- 알려진 몇 가지 분석 패턴
- form
top5_affected_data_username속성의 유출된 인증 정보를 사용하여 해당 IP가 여러 사용자에게 접근하려고 시도하는지 확인하십시오. 그렇다면 해당 IP를 일정 기간 차단할 수 있습니다. - 1시간 이내에 여러 IP 주소에서 다수의 경고가 감지되었거나,
credential_stuffing특정 규칙에 의해Multiple_failed_login동일한 IP 주소가 탐지된 경우, 이는 무차별 대입 공격이나 자격 증명 재사용 공격일 가능성이 있습니다.
- form
- 가능한 시정 조치
- 공격인지 확실하지 않다면 트래픽을 모니터링하십시오. 사용자 이름 또는 비밀번호 오류가 발생하는 트래픽이 증가하고 있는지 확인하십시오.
- 공격 기간 동안 동일한 IP 주소에서 특정 사용자 계정에 성공적으로 접속한 기록이 있는 경우, 해당 사용자를 모든 활성 세션에서 로그아웃시키고 비밀번호 변경을 요청하거나, 사전 예방적 조치로 해당 사용자를 일시적으로 차단하십시오.
- 해킹당한 인증 정보로 인해 해당 IP 주소에서 여러 사용자가 접속하는 경우, 속성에서
source해당 IP 주소를 차단하십시오.
- 샘플 경보
{ "rule_id": "COMPROMISED_CREDENTIALS", "rule_name": "Multiple use of compromised credentials", "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.", "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]", "component": "Login activity", "severity": "critical", "impacted_user_count": 1, "anomalous_event_count": 100, "normal_traffic_volume": 0, "date": "2023-02-08", "top5_affected_data_scope": "{}", "rule_attribute": "compromised_credentials", "top5_affected_data_username": "{'Henry': 100}", "start_time": "2023-02-08 21:00:00", "end_time": "2023-02-08 22:00:00", "index": "event-authentication-*", "most_significant_data_mfamethod": [], "most_significant_geoip_country_name": [ "United States" ], "most_significant_data_grant_type": [], "top5_affected_tenantname": "{'tenant1.abc.com': 100}", "top5_affected_data_providerid": "{}", ], "most_significant_tenantname": [ "tenant1.abc.com" ], "most_significant_data_sourcetype": [ "clouddirectory" ], "most_significant_data_scope": [], ], "top5_affected_data_subtype": "{'user_password': 100}", "most_significant_data_subtype": [ "user_password" ], "most_significant_data_providerid": [], "top5_affected_geoip_country_name": "{'United States': 100}", "top5_affected_data_grant_type": "{}", "top5_affected_data_mfamethod": "{}", "top5_affected_data_sourcetype": "{'clouddirectory': 100}", "most_significant_data_username": [ "Henry" ] }
고장 원인에 따른 분류
이 알림은 운영상의 문제를 나타냅니다.
- 조사
- 트래픽을 분석하여 실제 공격인지 여부를 파악하고, 필요한 경우 대응 조치를 취하십시오. 관련 기준 및 속성에 대해 더 자세히 알아보려면 다음 내용을 참조하십시오. 제공된 내용을 바탕으로 이것이 실제 공격일 가능성이 있는지 판단하십시오.
| 조사 기준 | 속성 |
|---|---|
| 영향을 받은 테넌트 확인 URL | top5_affected_tenantname |
| 경보의 심각도 확인 |
|
| 영향을 받은 사용자 이름 확인 | top5_affected_data_username |
| 교통량 파악 | normal_traffic_volume 지난 7일간의 이벤트를 기준으로 한 기준 수치를 제공하며, 이를 지난 1시간 동안의 이벤트와 비교합니다. normal_traffic_volumeanomalous_event_count 지난 1시간 동안의 총 이벤트 수와 의 차이입니다. |
| 공격 발생 시 또는 운영상의 문제 발생 시 영향을 받은 구성 요소를 디버그합니다 | 조사를 위한 추가적인 맥락을 파악하기 위해 다음 속성들을 분석할 수 있습니다:
참고: 각 속성에 해당하는 값에 대한 이벤트 수는 해당
top5_affected_<FIELD NAME> 속성에서 |
| 영향을 받은 애플리케이션과 문제 유형을 확인하십시오 | 및 summary 속성에서 top5_affected_data_applicationname . |
- 가능한 시정 조치
- 운영상의 문제에 따라 Verify 관리 콘솔의 설정을 변경해야 하거나 Verify 지원팀의 도움이 필요할 수 있습니다.
- 샘플 경보
{ "rule_id": "CAUSE_OF_SSO_FAILURE", "rule_name": "Grouping by the cause of failure (SSO)", "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.", "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]", "component": "Login activity", "anomalous_event_count": 11314, "normal_traffic_volume": 1595, "start_time": 1674054000000, "end_time": 1674057600000, "date": "2023-01-18", "severity": "critical", "index": "event-sso-*", "impacted_user_count": 7774, "impacted_apps_count": 20, ], "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}", "most_significant_tenantname": [ "tenant1.abc.com" ], "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}", "most_significant_data_subtype": [ "saml" ], "top5_affected_data_scope": "{}", "most_significant_data_scope": [], "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}", "most_significant_data_cause": [ "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol." ], "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}", "most_significant_data_applicationname": [ "ABC-365" ], "top5_affected_data_client_name": "{}", "most_significant_data_client_name": [], "top5_affected_data_redirecturl": "{}", "most_significant_data_redirecturl": [], "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}", "most_significant_data_providerid": [ "UNKNOWN" ], "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}", "most_significant_data_username": [ "UNKNOWN", "jer@abc.com", "crow@abc.com" ], "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}", "most_significant_geoip_country_name": [ "United States" ] }
참고: 감사 이벤트에 대한 자세한 내용은 ‘위협 이벤트 페이로드’를 참조하십시오.
위협 탐지에 대한 자세한 내용은 Verify의 ‘위협 탐지’를 참조하십시오.