Ver eventos de registro de Attack Protection

Los registros de tu inquilino contienen datos útiles que puedes usar para crear gráficos y analizar el perfil del tráfico que circula por tu inquilino. Esto resulta útil al evaluar la actividad de . Por ejemplo, puedes buscar los siguientes eventos para determinar si estás bajo ataque:

Ráfagas anormales de tráfico en el flujo de inicio de sesión que generan errores (como errores de username o contraseña incorrectos).
Ráfagas anormales de tráfico procedente de ubicaciones geográficas de IP no esperadas.

Estos eventos suelen ocurrir sin que cambie demasiado la tasa de inicios de sesión exitosos. Puedes usar el campo event de los datos del registro de tu inquilino para ver los datos de tráfico del inquilino. Recomendamos crear un histograma diario de eventos fallidos de los siguientes tipos:

Código de evento	Evento
`f`	Inicio de sesión fallido
`fcoa`	Autenticación de origen cruzado fallida
`feccft`	Intercambio fallido
`fepft`	Intercambio fallido
`fsa`	Autenticación silenciosa fallida
`fu`	Inicio de sesión fallido (correo electrónico/username no válido)
`pla`	Evaluación previa al inicio de sesión
`sepft`	Intercambio exitoso

Estos eventos fallidos dependen del flujo que hayas configurado con Auth0. El siguiente ejemplo muestra un ataque de credential stuffing el 13/02, con un gran aumento de eventos del tipo fu, que indica un username fallido (típico de un ataque de credential stuffing).

Gráfico de ejemplo de tendencias de fallos de tráfico

Busque un aumento repentino o una cantidad anormal de errores por username o contraseña incorrectos. Por ejemplo: ¿Espera >30.000 errores por hora?

Código de evento	Evento
`s`	Inicio de sesión exitoso
`fu`	Inicio de sesión fallido, correo electrónico/username no válido
`fp`	Inicio de sesión fallido, contraseña incorrecta

Este es un ejemplo de cómo podrían verse los datos.

Gráfico de ejemplo de un aumento repentino en errores de inicio de sesión en comparación con el tráfico normal

Frecuencia de eventos de protección contra ataques

Busque un volumen de tráfico anormalmente alto en eventos de protección contra ataques, como la o ataques de fuerza bruta en varias cuentas.

Código de evento	Evento
`limit_mu`	Dirección IP bloqueada
`limit_wc`	Cuenta bloqueada
`pwd_leak`	Contraseña comprometida durante el inicio de sesión
`signup_pwd_leak`	Contraseña comprometida durante el registro
`reset_pwd_leak`	Contraseña comprometida durante la recuperación de la contraseña

A continuación se muestra un ejemplo de cómo podrían verse los datos.

Gráfico de ejemplo de eventos de detección de anomalías

Número de IP que generan errores y sus ubicaciones

Busque una gran cantidad de IP de ubicaciones geográficas que no tengan sentido. Por ejemplo: ¿Es normal recibir tráfico de 10.000 IP de Rusia todos los días? Observe los datos de la dirección ip junto con el tráfico de eventos fu para determinar de dónde proviene el tráfico fallido. Los datos de geolocalización de IP no están disponibles en los registros del inquilino, a menos que pueda enriquecerlos desde otra fuente. Este es un ejemplo de cómo podrían verse los datos:

Gráfico de ejemplo de intentos de acceso fallidos por región

​Tasa de errores en el flujo de inicio de sesión

​Frecuencia de eventos de protección contra ataques

​Número de IP que generan errores y sus ubicaciones

​Más información

Tasa de errores en el flujo de inicio de sesión

Frecuencia de eventos de protección contra ataques

Número de IP que generan errores y sus ubicaciones

Más información