Eventos de ameaça

Editar online

IBM® Verify gera alertas para determinar se o tráfego é suspeito. Além disso, fornece detalhes sobre medidas proativas de correção caso o tráfego seja considerado suspeito.

IBM Verify gera os seguintes tipos de alertas.

Possível ataque de preenchimento de credenciais (PCS)

Este alerta indica um possível ataque de preenchimento de credenciais. Foi detectado um aumento repentino no número de tentativas malsucedidas de login. O nível de atividade é comparado ao comportamento normal do SSO ou aos eventos de autenticação dos últimos 14 dias. O alerta contém detalhes sobre quaisquer endereços IP suspeitos que foram identificados durante o ataque.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique a lista de endereços IP suspeitos e verifique se houve alguma tentativa de login bem-sucedida a partir desses endereços IP
  • xfe_confirmed_malicious_ips - Lista de endereços IP ativos nos quais foram detectados eventos de SSO, autenticação ou gerenciamento na última hora.
  • xfe_threat_insight - Categorias associadas a IPs passíveis de ação. Por exemplo: "Encontrados 3 endereços IP maliciosos conhecidos, com as seguintes categorias: anônimos - 0, bots - 3, c2server - 0, mw - 0, varredura - 0."
  • suspicious_ips - Lista de endereços IP ativos detectados na última hora, acompanhada da porcentagem de falhas, do número de tentativas bem-sucedidas e do número de tentativas de login malsucedidas para cada endereço IP.
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de eventos anômalos for > max(5*normal_failure_count, 10000).
  • Aviso - Se o número de eventos anômalos estiver entre [min(3* normal traffic volume, 5000), Critical value].
Obtenha mais informações sobre a causa das falhas top5_affected_data_cause
Identificar nomes de usuário afetados top5_affected_data_username mostra as 5 principais contas mais utilizadas durante o ataque.
Verifique se alguma conta foi acessada com sucesso a partir de endereços IP suspeitos compromised_users
Identifique o aplicativo afetado top5_affected_data_applicationname
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 14 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Alguns padrões de análise conhecidos
  • Identificar xfe_confirmed_malicious_ips lista. Se algum endereço IP for encontrado nessa categoria, ele poderá ser bloqueado diretamente ou denunciado como um ataque com alto grau de confiança.
  • Veja as estatísticas dos endereços IP da suspicious_ips lista.
    • Se a maioria dos eventos de falha for proveniente de um único endereço IP e os demais apresentarem um número menor de eventos de falha, é possível que alguém tenha executado um script ou aplicativo com um nome de usuário ou senha incorretos (identifique os nomes de usuário válidos acessados a partir desse IP). Além disso, verifique a causa da falha e top5_affected_data_applicationname veja se trata-se de um dos problemas conhecidos.
    • Se vários endereços IP apresentarem um número significativo de falhas na lista de endereços IP suspeitos, é altamente provável que se trate de um ataque. Identifique os top5_geoip_country_name endereços IP suspeitos de alta taxa de falhas no alerta, bem como a distribuição por país e nome de usuário de cada um deles.
    • Se as falhas ocorrerem em uma aplicação específica, isso pode ser devido a uma configuração incorreta da aplicação. Verifique com o responsável pelo aplicativo.
  • No caso de eventos de autenticação, se a maioria das causas de falha contiver strings como INVALID_CREDS , pode ser um ataque.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego. Verifique se o tráfego com falhas no nome de usuário ou na senha está aumentando.
  • Se for confirmado que se trata de um ataque, bloqueie os endereços IP no anomalous_suspicious_ips atributo.
  • Contas nas quais o login foi realizado com sucesso a partir de endereços IP suspeitos podem estar comprometidas. Os nomes de usuário potencialmente comprometidos correspondentes a cada endereço IP suspeito podem ser encontrados no compromised_users atributo. No caso de contas comprometidas, decida se deseja redefinir as senhas ou desativar essas contas.
Alerta de amostra
{
  "rule_id": "CREDENTIAL_STUFFING_SSO",
  "rule_name": "Potential credential stuffing attack (SSO)",
  "summary": "Potential credential stuffing attack (SSO): 31348 anomalous events are observed, beyond normal traffic volume, from 2022-11-23 17:00:00 UTC to 2022-11-23 18:00:00 UTC.",
  "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]",
  "component": "Login activity",
  "anomalous_event_count": 31348,
  "normal_traffic_volume": 1004,
  "start_time": 1669222800000,
  "end_time": 1669226400000,
  "date": "2022-11-23",
  "severity": "critical",
  "index": "event-sso-*",
  "impacted_user_count": 32090,
  "impacted_apps_count": 5,
  "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], 
  ['52.117.163.162', 98.72, 10517, 136], ['169.50.223.22', 98.53, 5502, 82], ['169.50.223.24', 98.42, 5431, 87], 
  ['169.59.129.120', 98.44, 5242, 83], ['169.59.129.116', 98.67, 5185, 70]]",
  "anomalous_suspicious_ips": [
    "169.50.223.22",
    "169.50.223.24",
    "169.59.129.116",
    "169.59.129.120",
    "52.117.163.162"
  ],
  "compromised_users": "{'52.117.163.162': ['Aroh@gmail.com', 'Carb@aol.com', 'Sha@gmail.com'], '169.50.223.24': ['Thar@univ.jfn.ac.lk', 'Tn@gmail.com', 'ain@gmail.com'], '169.59.129.120': ['IBM@mailinator.com', '118@umail.ucc.ie', '229@qq.com', '405@qq.com'], '169.50.223.22': ['IBM@mailinator.com', '4A8@stust.edu.tw', '4A8@stust.edu.tw'], '169.59.129.116': ['IBM@mailinator.com', '202@student.act.edu']}",
  "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 0, c2server: 0, mw: 1, scanning: 0.",
  "xfe_confirmed_malicious_ips": ['52.117.163.162'],
  ],
  "top5_affected_tenantname": "{'tenant1.abc.com': 32352}",
  "most_significant_tenantname": [
    "tenant1.abc.com"
  ],
  "top5_affected_data_subtype": "{'oidc': 32352}",
  "most_significant_data_subtype": [
    "oidc"
  ],
  "top5_affected_data_scope": "{'openid': 32352}",
  "most_significant_data_scope": [
    "openid"
  ],
  "top5_affected_data_cause": "{'CSIAQ0264E The user name or password is invalid.': 32321, 'CSIAQ0264E El nombre de usuario o la contraseña no es válido.': 12, 'CSIAQ0264E O nome do usuário ou a senha é inválida.': 9, 'CSIAQ0264E 用户名或密码无效。': 4, 'CSIAQ0264E 사용자 이름 또는 비밀번호가 올바르지 않습니다.': 2}",
  "most_significant_data_cause": [
    "CSIAQ0264E The user name or password is invalid."
  ],
  "top5_affected_data_applicationname": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}",
  "most_significant_data_applicationname": [
    "urx_next"
  ],
  "top5_affected_data_client_name": "{'urx_next': 31877, 'ABC_PROD_CLOUD': 347, 'ABC Cloud IAM production - global': 117, 'ABC Cloud IAM staging - global': 7, 'ABC Cloud IAM integrationtest': 4}",
  "most_significant_data_client_name": [
    "urx_next"
  ],
  "top5_affected_data_redirecturl": "{'UNKNOWN': 32352}",
  "most_significant_data_redirecturl": [
    "UNKNOWN"
  ],
  "top5_affected_data_providerid": "{}",
  "most_significant_data_providerid": [],
  "top5_affected_data_username": "{'wsa@ibm.com': 319, 'arm@gmail.com': 17, 'armo@gmail.com': 9, '123@mail.ru': 6, 'e_epps@ymail.com': 6}",
  "most_significant_data_username": [
    "wsa@ibm.com"
  ],
  "top5_affected_geoip_country_name": "{'United States': 32334, 'Australia': 17, 'United Kingdom': 1}",
  "most_significant_geoip_country_name": [
    "United States"
  ]
}

Várias tentativas de login malsucedidas a partir do endereço IP

Este alerta indica um ataque de força bruta ou um ataque de preenchimento de credenciais. Foi detectado um aumento repentino no número de tentativas de login malsucedidas provenientes de um endereço IP. O nível de atividade é comparado ao comportamento normal do SSO ou aos eventos de autenticação dos últimos 7 dias.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique a lista de endereços IP suspeitos e verifique se houve alguma tentativa de login bem-sucedida a partir desses endereços IP
  • xfe_confirmed_malicious_ips - Lista de endereços IP ativos nos quais foram detectados eventos de SSO, autenticação ou gerenciamento na última hora.
  • xfe_threat_insight - Categorias associadas a IPs passíveis de ação. Por exemplo: "Encontrados 3 endereços IP maliciosos conhecidos, com as seguintes categorias: anônimos - 0, bots - 3, c2server - 0, mw - 0, varredura - 0."
  • suspicious_ips - Lista de endereços IP ativos detectados na última hora, acompanhada da porcentagem de falhas, do número de tentativas bem-sucedidas e do número de tentativas de login malsucedidas para cada endereço IP.
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de eventos anômalos for > max(5*normal_failure_count, 5000).
  • Aviso — se o número de eventos anômalos estiver entre [min(3* normal traffic volume, 500), Critical value].
Obter informações sobre a causa das falhas top5_affected_data_cause ajuda a determinar se as falhas se devem a algum problema operacional.
Identificar nomes de usuário afetados top5_affected_data_username mostra as 5 principais contas mais utilizadas durante o ataque.
Verifique se alguma conta foi acessada com sucesso a partir de endereços IP suspeitos compromised_users
Identifique o aplicativo afetado top5_affected_data_applicationname
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 7 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Além dos critérios e atributos de investigação já mencionados, verifique os seguintes detalhes:
  • Às vezes, a falha no login ocorre devido a alguns problemas operacionais. Verifique se há algum problema conhecido que possa estar causando essas falhas, resultando em um alerta.
  • Verifique se há vários nomes de usuário sendo usados a partir desse endereço IP. Se forem utilizados vários nomes de usuário, verifique se se trata de uma VPN. Se o endereço IP não for de uma VPN, pode ser um ataque.
Alguns padrões de análise conhecidos
  • Identifique xfe_confirmed_malicious_ips a lista; se for encontrada uma correspondência, bloqueie esse IP.
  • Verifique o número de alertas de tentativas múltiplas de login malsucedidas gerados nessa hora e, em seguida, identifique top5_affected_data_cause,top5_affected_data_applicationname, e top5_affected_data_username.
    • Se o tráfego for proveniente de um aplicativo específico e de um usuário específico, talvez alguém tenha inserido um nome de usuário ou senha incorretos e executado um script para alguma finalidade. Verifique se o tráfego é legítimo ou não.
    • Se o tráfego estiver vindo de vários usuários, bloqueie o endereço IP (a menos que se trate de um endereço IP de VPN ou proxy). Se o endereço IP for de uma VPN ou de um proxy, identifique top5_affected_data_cause a causa para determinar se se trata de algum problema operacional.
    • Se forem encontrados vários alertas em uma hora, identifique top5_affected_tenantname e top5_affected_data_username analise cada um deles. Se vários endereços IP apresentarem o maior número de falhas para um único locatário e provenientes de vários usuários, isso pode indicar um ataque ou uma falha grave na aplicação ou no sistema.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego para verificar se as falhas estão diminuindo ou aumentando.
  • Se for confirmado que se trata de um ataque, bloqueie os endereços IP no anomalous_suspicious_ips atributo.
  • Contas nas quais o login foi realizado com sucesso a partir de endereços IP suspeitos podem estar comprometidas. Os nomes de usuário potencialmente comprometidos correspondentes a cada endereço IP suspeito podem ser encontrados no compromised_users atributo. No caso de contas comprometidas, decida se deseja redefinir as senhas ou desativar essas contas.
Alerta de amostra
{
    "rule_id": "MULTIPLE_FAILED_LOGIN_AUTH",
    "rule_name": "Multiple failed login from an IP address (Auth)",
    "summary": "Multiple failed login from an IP address (Auth): 5597 anomalous events are observed, beyond normal traffic volume, from 2023-01-10 17:00:00 UTC to 2023-01-10 18:00:00 UTC.",
    "source": "[('data.origin', '165.155.173.54'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 5597,
    "normal_traffic_volume": 0,
    "start_time": 1673370000000,
    "end_time": 1673373600000,
    "date": "2023-01-10",
    "severity": "critical",
    "index": "event-authentication-*",
    "impacted_user_count": 17,
    "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], ['165.155.173.54', 98.45, 5597, 88]]",
    "anomalous_suspicious_ips": [
      "165.155.173.54"
    ],
    "compromised_users": "{'165.155.173.54': ['serafina', 'alessi', 'donyg', 'evanb', 'joelr', 'taqb', 'anthony', 'heaven', 'jenny', 'jessica']}",
    "xfe_threat_insight": "Found 0 known malicious IPs.",
    "xfe_confirmed_malicious_ips": [],
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 5593, 'tenant2.abc.com': 4}",
    "most_significant_tenantname": [
      "idpcloud.nycenet.edu"
    ],
    "top5_affected_data_subtype": "{'user_password': 5596, 'mfa': 1}",
    "most_significant_data_subtype": [
      "user_password"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_cause": "{'The system failed to authenticate user \"aariz\" because of \"INVALID_CREDS\".': 5579, 
    'The system failed to authenticate user \"anthony\" because of \"INVALID_CREDS\".': 2, 
    'The system failed to authenticate user \"mtorr\" because of \"INVALID_CREDS\".': 2, 
    'CSIAH2417E The one-time password that you submitted was invalid. Submit a valid one-time password.': 1, 
    'The system failed to authenticate user \"aless\" because of \"INVALID_CREDS\".': 1}",
    "most_significant_data_cause": [
      "The system failed to authenticate user \"aari\" because of \"INVALID_CREDS\"."
    ],
    "top5_affected_data_sourcetype": "{'clouddirectory': 5596}",
    "most_significant_data_sourcetype": [
      "clouddirectory"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_grant_type": "{}",
    "most_significant_data_grant_type": [],
    "top5_affected_data_mfamethod": "{'SMS OTP': 1}",
    "most_significant_data_mfamethod": [
      "SMS OTP"
    ],
    "top5_affected_data_username": "{'aari': 5579, 'anthony': 2, 'mtor': 2, 'ANor': 1, 'aless': 1}",
    "most_significant_data_username": [
      "aari"
    ],
    "top5_affected_geoip_country_name": "{'United States': 5597}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}

Observou-se um número anormal de eventos de falha no SSO/autenticação por locatário

Este alerta indica um ataque de força bruta ou de preenchimento de credenciais, ou problemas operacionais.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique a lista de endereços IP suspeitos e verifique se houve alguma tentativa de login bem-sucedida a partir desses endereços IP
  • xfe_confirmed_malicious_ips - Lista de endereços IP ativos nos quais foram detectados eventos de SSO, autenticação ou gerenciamento na última hora.
  • xfe_threat_insight - Categorias associadas a IPs passíveis de ação. Por exemplo: "Encontrados 3 endereços IP maliciosos conhecidos, com as seguintes categorias: anônimos - 0, bots - 3, c2server - 0, mw - 0, varredura - 0."
  • suspicious_ips - Lista de endereços IP ativos detectados na última hora, acompanhada da porcentagem de falhas, do número de tentativas bem-sucedidas e do número de tentativas de login malsucedidas para cada endereço IP.
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de eventos anômalos for > max(5*normal_failure_count, 10000).
  • Aviso - Se o número de eventos anômalos estiver entre [min(3* normal traffic volume, 5000), Critical value].
Obter informações sobre a causa das falhas top5_affected_data_cause ajuda a determinar se as falhas se devem a algum problema operacional.
Identificar nomes de usuário afetados top5_affected_data_username mostra as 5 principais contas mais utilizadas durante o ataque.
Identifique o aplicativo afetado top5_affected_data_applicationname
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 14 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Além dos critérios e atributos de investigação já mencionados, verifique os seguintes detalhes:
  • Às vezes, são gerados eventos de falha no login devido a alguns problemas operacionais.
    • Verifique se há algum problema conhecido que possa estar causando essas falhas e gerando um alerta.
    • Verifique se há outros alertas gerados indicando um ataque, como várias tentativas de login malsucedidas a partir de um endereço IP (ou) um possível ataque de preenchimento de credenciais.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego para verificar se as falhas estão diminuindo ou aumentando.
  • Se for confirmado que se trata de um ataque, bloqueie os endereços IP no anomalous_suspicious_ips atributo.
  • Contas nas quais o login foi realizado com sucesso a partir de endereços IP suspeitos podem estar comprometidas. Os nomes de usuário potencialmente comprometidos correspondentes a cada endereço IP suspeito podem ser encontrados no compromised_users atributo. No caso de contas comprometidas, decida se deseja redefinir as senhas ou desativar essas contas.
Alerta de amostra
{
    "rule_id": "TENANT_FAILED_SSO_EVENTS",
    "rule_name": "Abnormal number of failed SSO events observed per tenant.",
    "summary": "Abnormal number of failed SSO events observed per tenant.: 24456 anomalous events are observed, beyond normal traffic volume, from 2022-12-19 10:00:00 UTC to 2022-12-19 11:00:00 UTC.",
    "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('tenantname', 'tenant1.abc.com'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 24456,
    "normal_traffic_volume": 711,
    "start_time": 1671444000000,
    "end_time": 1671447600000,
    "date": "2022-12-19",
    "severity": "critical",
    "index": "event-sso-*",
    "impacted_user_count": 88,
    "impacted_apps_count": 37,
    "suspicious_ips": "[['ip', 'fail_percentage', 'failure_count', 'success_count'], 
    ['177.241.73.204', 100.0, 24777, 0], ['129.42.21.2', 100.0, 26, 0], ['129.42.18.2', 100.0, 24, 0], 
    ['129.42.19.2', 100.0, 24, 0], ['89.64.54.76', 100.0, 19, 0], ['52.116.134.146', 100.0, 12, 0], 
    ['122.161.79.4', 100.0, 11, 0]]",
    "anomalous_suspicious_ips": [
      "122.161.79.4",
      "177.241.73.204",
      "89.64.54.76"
    ],
    "xfe_threat_insight": "Found 1 known malicious IPs, having categories: anonsvcs: 0, bots: 1, c2server: 0, mw: 0, scanning: 0`",
    "xfe_confirmed_malicious_ips": ['122.161.79.4'],
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 25167}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_subtype": "{'oidc': 25167}",
    "most_significant_data_subtype": [
      "oidc"
    ],
    "top5_affected_data_scope": "{'openid email': 24790, 'openid': 259, 'openid profile': 2, 'openid profile email': 1}",
    "most_significant_data_scope": [
      "openid email"
    ],
    "top5_affected_data_cause": "{'CSIAQ0178E Login is required. The request cannot be processed without authentication.': 24777, 
    'CSIAQ0278E User is not authorized to access the application due to policy constraints.': 150, 
    'CSIAQ0158E The [authorization_grant] of type [authorization_code] does not exist or is invalid.': 70, 
    'CSIAQ0158E The [authorization_grant] of type [refresh_token] does not exist or is invalid.': 31, 
    'CSIAQ0158E タイプ [refresh_token] の [authorization_grant] は存在しないか無効です。': 13}",
    "most_significant_data_cause": [
      "CSIAQ0178E Login is required. The request cannot be processed without authentication."
    ],
    "top5_affected_data_applicationname": "{'Gaz-HAT-Production': 24777, 'abc-refresh-service-prod': 107, 'ABCProductionOIDC': 72, 'ABC Publisher': 63, 'FastPassPRDClient': 30}",
    "most_significant_data_applicationname": [
      "Gaz-HAT-Production"
    ],
    "top5_affected_data_client_name": "{'ABC-HAT-Production': 24777, 'ABCrefresh-service-prod': 107, 'ABCProductionOIDC': 72, 'abc Publisher': 63, 'abcFastPassPRDClient': 30}",
    "most_significant_data_client_name": [
      "Gaz-HAT-Production"
    ],
    "top5_affected_data_redirecturl": "{'https://gaz.tuc.stglabs.ibm.com/oidc/callback/': 24777, 'https://w3-authorization-service.us-south-k8s.intranet.ibm.com/sso/callback': 88, 'https://w3.ibm.com/w3publisher/redirect.html': 63, 'UNKNOWN': 50, 'https://fastpass.w3cloud.ibm.com:443/oidcclient/redirect/FastPassPRDClient': 30}",
    "most_significant_data_redirecturl": [
      "https://gaz.tuc.stglabs.ibm.com/oidc/callback/"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_username": "{'UNKNOWN': 24978, 'katar@ocean.ibm.com': 19, 'Jaya@ocean.ibm.com': 17, 'shiv@ocean.ibm.com': 11, 'Neha@ocean.ibm.com': 10}",
    "most_significant_data_username": [
      "UNKNOWN"
    ],
    "top5_affected_geoip_country_name": "{'Mexico': 24777, 'United States': 192, 'India': 84, 'Poland': 26, 'Japan': 22}",
    "most_significant_geoip_country_name": [
      "Mexico"
    ]
}

Autenticação frequente por parte de um único usuário

Este alerta indica um ataque de força bruta ou de preenchimento de credenciais, ou problemas operacionais.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de eventos anômalos for > max(5*normal_failure_count, 10000).
  • Aviso - Se o número de eventos anômalos estiver entre [min(3* normal traffic volume, 5000), Critical value].
Identificar nomes de usuário afetados top5_affected_data_username mostra as 5 principais contas mais utilizadas durante o ataque.
Identifique o aplicativo afetado top5_affected_data_applicationname
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 7 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Além dos critérios e atributos de investigação já mencionados, verifique os seguintes detalhes:
  • Às vezes, a necessidade de autenticação frequente pode ser causada por uma configuração incorreta do aplicativo. Verifique se há algum problema conhecido que possa estar causando essas falhas e gerando um alerta.
Alguns padrões de análise conhecidos
  • Verifique se há vários alertas chegando no mesmo intervalo para um único locatário. Se sim, verifique se há algum problema operacional conhecido relacionado ao locatário; caso contrário, consulte o top5_affected_data_applicationname atributo para identificar o aplicativo responsável por gerar o alerta.
  • Se o alerta for gerado pela mesma fonte (ou seja, mesmo locatário URL e nome de usuário) por várias horas, o usuário poderá ser bloqueado por um determinado período (por exemplo, 24 horas).
  • Analise a distribuição dos endereços IP e dos nomes dos aplicativos para identificar se se trata de um ataque distribuído.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego. Verifique se o tráfego com falhas no nome de usuário ou na senha está aumentando.
  • Se o tráfego for identificado como suspeito, bloqueie a conta para a qual o alerta foi gerado como medida proativa de correção.
Alerta de amostra
{
    "rule_id": "FREQUENT_AUTH_SINGLEUSER_AUTH",
    "rule_name": "Frequent authentication from single user (Auth)",
    "summary": "Frequent authentication from single user (Auth): 16283 anomalous events are observed, beyond normal traffic volume, from 2022-12-26 10:00:00 UTC to 2022-12-26 11:00:00 UTC.",
    "source": "[('tenantid', '874f131f-79a9-4581-b078-de7681091fbc'), ('data.username', 'MSurk'), ('data.result', 'success')]",
    "component": "Login activity",
    "anomalous_event_count": 16283,
    "normal_traffic_volume": 0,
    "start_time": 1672048800000,
    "end_time": 1672052400000,
    "date": "2022-12-26",
    "severity": "critical",
    "index": "event-authentication-*",
    "impacted_user_count": 1,
    "anomalous_suspicious_ips": [
      "12.153.148.57"
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 16283}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_cause": "{'Authenticated user \"MSurk\" successfully.': 16283}",
    "most_significant_data_cause": [
      "Authenticated user \"MSurk\" successfully."
    ],
    "top5_affected_data_subtype": "{'user_password': 16283}",
    "most_significant_data_subtype": [
      "user_password"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_sourcetype": "{'clouddirectory': 16283}",
    "most_significant_data_sourcetype": [
      "clouddirectory"
    ],
    "top5_affected_data_origin": "{'12.153.148.57': 16283}",
    "most_significant_data_origin": [
      "12.153.148.57"
    ],
    "top5_affected_data_providerid": "{}",
    "most_significant_data_providerid": [],
    "top5_affected_data_grant_type": "{}",
    "most_significant_data_grant_type": [],
    "top5_affected_data_mfamethod": "{}",
    "most_significant_data_mfamethod": [],
    "top5_affected_data_username": "{'MSurk': 16283}",
    "most_significant_data_username": [
      "MSurk"
    ],
    "top5_affected_geoip_country_name": "{'United States': 16283}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}

Número anormal de cadastros de dispositivos MFA

Este alerta indica um ataque de força bruta.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de dispositivos MFA únicos por usuário for superior a 20.
  • Aviso - Se o número de dispositivos MFA únicos por usuário estiver entre [8, 20].
Identifique o método mfamethod mais utilizado na última hora top5_affected_data_mfamethod
Alguns padrões de análise conhecidos
  • Este alerta é gerado em eventos de gerenciamento. Se for encontrado algum alerta, verifique se ele foi enviado por um usuário válido ou não. Se o usuário for válido, identifique o tipo de autenticação (top5_affected_data_mfamethod) e o número de dispositivos registrados (anomalous_event_count). Tome as medidas necessárias caso seja detectada alguma suspeita.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego. Verifique se o tráfego com falhas no nome de usuário ou na senha está aumentando.
  • Se o tráfego for identificado como suspeito, bloqueie a conta para a qual o alerta foi gerado como medida proativa de correção.
  • Se o usuário for identificado como suspeito, ele será bloqueado ou a ação seguirá conforme especificado na regra da política de acesso. Consulte “Bloqueio de usuários com base em ameaças” para obter mais detalhes.
Alerta de amostra
{
    "rule_name": "Abnormal number of device enrollments",
    "rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
    "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-01-12 17:00:00 UTC to 2023-01-12 18:00:00 UTC.",
    "severity": "critical",
    "date": "2023-01-12",
    "start_time": "2023-01-12 17:00:00",
    "end_time": "2023-01-12 18:00:00",
    "component": "Login activity",
    "normal_traffic_volume": 0,
    "anomalous_event_count": 20,
    "impacted_user_count": 1,
    "index": "event-management-*", 
    "most_significant_data_subject": ["326000DLNK"],
    "most_significant_data_origin": [
      "129.41.58.3"
    ],
    "top5_affected_data_username": "{'Henry': 20}",
    "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'Henry')]",
    "most_significant_data_mfamethod": [
      "Voice OTP"
    ],
    "most_significant_geoip_country_name": [
      "United States"
    ],
    "most_significant_data_grant_type": [],
    "top5_affected_tenantname": "{'tenant1.abc.com': 20}",
    ],
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_origin": "{'129.41.58.3': 20}",
    "anomalous_suspicious_ips": [
      "129.41.58.3"
    ],
    "top5_affected_geoip_country_name": "{'United States': 20}",
    "top5_affected_data_grant_type": "{}",
    "top5_affected_data_mfamethod": "{'Voice OTP': 20}",
    "most_significant_data_username": [
      "Henry"
    ]
}

Uso múltiplo de credenciais comprometidas

Este alerta indica invasão de conta, ataque de força bruta e preenchimento de credenciais.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de usuários únicos que utilizam senhas comprometidas por endereço IP for superior a 500.
  • Aviso - Se o número de usuários únicos que utilizam senhas comprometidas por endereço IP estiver entre [50, 500].
Identifique o endereço IP que está tentando usar as credenciais comprometidas No source atributo.
Identificar nomes de usuário afetados top5_affected_data_username mostra as 5 principais contas mais utilizadas durante o ataque.
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 7 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_sourcetype
  • most_significant_data_providerid
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Alguns padrões de análise conhecidos
  • Verifique se o endereço IP está tentando acessar várias contas de usuário utilizando as credenciais comprometidas, por meio do atributo do formulário top5_affected_data_username . Se sim, o endereço IP pode ser bloqueado por um determinado período.
  • Se forem detectados vários alertas provenientes de vários endereços IP em uma hora, ou se o mesmo endereço IP for detectado pela Multiple_failed_login regra ou credential_stuffing , pode tratar-se de um ataque de força bruta ou de preenchimento de credenciais.
Possíveis medidas corretivas
  • Se não tiver certeza se se trata de um ataque, monitore o tráfego. Verifique se o tráfego com falhas no nome de usuário ou na senha está aumentando.
  • Se algumas contas de usuário tiverem sido acessadas com sucesso durante o período do ataque a partir do mesmo endereço IP, desconecte o usuário de todas as sessões ativas e solicite a alteração da senha, ou bloqueie temporariamente o usuário como medida proativa de correção.
  • Se houver vários usuários acessando a partir desse IP com credenciais comprometidas, bloqueie o IP no source atributo.
Alerta de amostra
{
    "rule_id": "COMPROMISED_CREDENTIALS",
    "rule_name": "Multiple use of compromised credentials",
    "summary": "Multiple use of compromised credentials: 100 anomalous events are observed, beyond normal traffic volume, from 2023-02-08 21:00:00 UTC to 2023-02-08 22:00:00 UTC.",
    "source": "[('data.origin', '129.41.58.3'), ('data.dict_type', 'GLOBAL')]",
    "component": "Login activity",
    "severity": "critical",
    "impacted_user_count": 1,
    "anomalous_event_count": 100,
    "normal_traffic_volume": 0,
    "date": "2023-02-08",
    "top5_affected_data_scope": "{}",
    "rule_attribute": "compromised_credentials",
    "top5_affected_data_username": "{'Henry': 100}",
    "start_time": "2023-02-08 21:00:00",
    "end_time": "2023-02-08 22:00:00",
    "index": "event-authentication-*",
    "most_significant_data_mfamethod": [],
    "most_significant_geoip_country_name": [
        "United States"
    ],
    "most_significant_data_grant_type": [],
    "top5_affected_tenantname": "{'tenant1.abc.com': 100}",
    "top5_affected_data_providerid": "{}",
    ],
    "most_significant_tenantname": [
        "tenant1.abc.com"
    ],
    "most_significant_data_sourcetype": [
        "clouddirectory"
    ],
    "most_significant_data_scope": [],
    ],
    "top5_affected_data_subtype": "{'user_password': 100}",
    "most_significant_data_subtype": [
        "user_password"
    ],
    "most_significant_data_providerid": [],
    "top5_affected_geoip_country_name": "{'United States': 100}",
    "top5_affected_data_grant_type": "{}",
    "top5_affected_data_mfamethod": "{}",
    "top5_affected_data_sourcetype": "{'clouddirectory': 100}",
    "most_significant_data_username": [
        "Henry"
    ]
}

Agrupamento por causa da falha

Este alerta indica problemas operacionais.

Investigação
Analise o tráfego para determinar se trata-se de um ataque real ou não e se é necessário tomar alguma medida corretiva. Consulte as informações a seguir para obter mais detalhes sobre os critérios e atributos envolvidos. Com base no contexto fornecido, determine se pode tratar-se de um ataque real ou não.

Detalhes da investigação
Critérios de investigação Atributos
Identifique o locatário afetado URL top5_affected_tenantname
Identifique o nível de gravidade do alerta
  • Crítico - Se o número de eventos anômalos for > max(5*normal_failure_count, 10000).
  • Aviso — se o número de eventos anômalos estiver entre [min(3* normal traffic volume, 5000), Critical value].
Identificar nomes de usuário afetados top5_affected_data_username
Identificar o volume de tráfego normal_traffic_volume fornece uma contagem de referência com base nos eventos dos últimos 7 dias, que são comparados com os eventos da última hora. anomalous_event_count é a diferença entre o total de eventos na última hora e normal_traffic_volume.
Depurar os componentes afetados durante o ataque ou em caso de problemas operacionais Os seguintes atributos podem ser analisados para obter mais contexto para a investigação:
  • most_significant_data_client_name
  • most_significant_data_providerid
  • most_significant_data_redirecturl
  • most_significant_data_scope
  • most_significant_data_subtype
  • most_significant_geoip_country_name
Nota: O número de eventos para cada um dos valores correspondentes aos atributos acima em seus respectivos top5_affected_<FIELD NAME> atributos
Identifique o aplicativo afetado e o tipo de problema A partir top5_affected_data_applicationname dos summary atributos e.
Possíveis medidas corretivas
  • Dependendo do problema operacional, pode ser necessário realizar alterações na configuração do console de administração do Verify ou solicitar a ajuda da equipe de suporte do Verify.
Alerta de amostra
{
    "rule_id": "CAUSE_OF_SSO_FAILURE",
    "rule_name": "Grouping by the cause of failure (SSO)",
    "summary": "Grouping by the cause of failure (SSO): 11314 anomalous events are observed, beyond normal traffic volume, from 2023-01-18 15:00:00 UTC to 2023-01-18 16:00:00 UTC.",
    "source": "[('data.cause', 'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.'), ('data.result', 'failure')]",
    "component": "Login activity",
    "anomalous_event_count": 11314,
    "normal_traffic_volume": 1595,
    "start_time": 1674054000000,
    "end_time": 1674057600000,
    "date": "2023-01-18",
    "severity": "critical",
    "index": "event-sso-*",
    "impacted_user_count": 7774,
    "impacted_apps_count": 20,
    ],
    "top5_affected_tenantname": "{'tenant1.abc.com': 11057, 'tenant2.abc.com': 1852}",
    "most_significant_tenantname": [
      "tenant1.abc.com"
    ],
    "top5_affected_data_subtype": "{'saml': 12420, 'WS-Fed': 489}",
    "most_significant_data_subtype": [
      "saml"
    ],
    "top5_affected_data_scope": "{}",
    "most_significant_data_scope": [],
    "top5_affected_data_cause": "{'CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol.': 12909}",
    "most_significant_data_cause": [
      "CSIAC5061E An unexpected error has occurred with a protocol module com.tivoli.am.fim.fedmgr2.protocol.GenericPocAuthenticationDelegateProtocol."
    ],
    "top5_affected_data_applicationname": "{'ABC-365': 320, 'Google.com': 67}",
    "most_significant_data_applicationname": [
      "ABC-365"
    ],
    "top5_affected_data_client_name": "{}",
    "most_significant_data_client_name": [],
    "top5_affected_data_redirecturl": "{}",
    "most_significant_data_redirecturl": [],
    "top5_affected_data_providerid": "{'UNKNOWN': 12472, 'urn:federation:MicrosoftOnline': 323}",
    "most_significant_data_providerid": [
      "UNKNOWN"
    ],
    "top5_affected_data_username": "{'UNKNOWN': 86, 'jer@abc.com': 60, 'crow@abc.com': 31, 'julia': 20, 'Bryan': 11}",
    "most_significant_data_username": [
      "UNKNOWN",
      "jer@abc.com",
      "crow@abc.com"
    ],
    "top5_affected_geoip_country_name": "{'United States': 12295, 'India': 178, 'Canada': 84, 'United Kingdom': 72, 'Mexico': 36}",
    "most_significant_geoip_country_name": [
      "United States"
    ]
}
Observação: Para obter mais informações sobre os eventos de auditoria, consulte Carga útil do evento de ameaça.

Para obter mais informações sobre a detecção de ameaças, consulte “Detecção de ameaças no Verify ”.