メインコンテンツへスキップ
テナントログには、テナントを通過するトラフィックのプロファイルを確認するためのグラフを作成するために使用できる便利なデータが含まれています。これは、攻撃防御アクティビティを評価するときに役立ちます。たとえば、次のイベントを探して、攻撃を受けているかどうかを判断できます。
  • ログインフローへのトラフィックの異常なバーストによりエラーが発生する(ユーザー名やパスワードのエラーが間違っているなど)。
  • 予期しないIPロケールからのトラフィックの異常なバースト。
これらのイベントは、ログイン成功率に大きな変化を伴わずに発生する傾向があります。 テナントログデータのイベントフィールドを使用して、テナントトラフィックデータを表示できます。次の種類の失敗イベントの毎日のヒストグラムを作成することをお勧めします。 これらの失敗イベントは、Auth0で設定したフローによって異なります。 以下は02/13の資格情報スタッフィング攻撃の例です。この攻撃ではfuタイプの失敗したユーザー名(典型的な資格情報スタッフィング攻撃)のイベントが急増しています。
トラフィック障害トレンドグラフの例

ログインフローのエラー率

ユーザー名またはパスワードが正しくない場合のエラーの急増または異常な数を探します。例:1時間あたり>30,000件のエラーが予想されますか? データの例を以下に示します。
通常のトラフィックと比較したログイン失敗の急増のグラフ例

攻撃防御イベントの率

パスワード侵害の検出や複数のアカウントに対するブルートフォース攻撃などの攻撃防御イベントのトラフィックが異常に高いかどうかを探します。 データの例を以下に示します。
異常検出イベントのグラフ例

エラーを生成しているIPの数とその場所

意味をなさないロケールからのIPの数が多いかどうかを探します。例:ロシアから毎日10,000のIPからのトラフィックが予想されますか?失敗トラフィックの発生元を特定するには、fuイベントトラフィックと併せてipアドレスデータを観察します。 IPジオロケーションデータは、別の場所からエンリッチメントできない限り、テナントログでは使用できません。IPロケールは、ログに既に情報がエンリッチメントされているKibanaからのみ使用できます。 データの例を次に示します。
地域別の失敗したアクセス試行のグラフ例

もっと詳しく