Saltar al contenido principal
Revisar los logs para evaluar el impacto de un ataque es un paso crucial en tu plan de respuesta a incidentes. En esta página verás cómo acceder a los logs en el y algunos ejemplos de consultas de búsqueda de logs para encontrar indicios de un ataque y revisar la actividad de la cuenta.

Consulta los logs de Auth0

  1. Inicie sesión en el Auth0 Dashboard
  2. La página Logs se encuentra en Monitoring, en el menú de la izquierda.
  3. En la página Logs, verá una barra de búsqueda, además de un selector de filtros y un selector de fechas.
Dashboard Monitoring Logs
Seleccione un evento de log de la lista para ver un Resumen del evento junto con más Detalles, incluido el JSON sin procesar.

Estructura del registro

Cada evento de registro tiene los siguientes campos:
CampoDescripción
dateMarca temporal de cuándo ocurrió este evento.
log_idEl id del evento de registro.
typeEl tipo de evento de registro.
descriptionLa descripción del evento.
connectionEl nombre de la conexión relacionada con el evento.
connection_idEl id de la conexión relacionada con el evento.
client_idEl id del cliente relacionado con el evento.
client_nameEl nombre del cliente relacionado con el evento.
ipLa dirección IP desde la que se originó la solicitud que causó el evento de registro.
user_agentEl agente de usuario relacionado con el evento.
detailsUn objeto que contiene información adicional sobre este evento de registro.
user_idEl id del usuario relacionado con el evento.
user_nameEl nombre del usuario relacionado con el evento.
strategyLa estrategia de conexión relacionada con el evento.
strategy_typeEl tipo de estrategia de conexión relacionada con el evento.

Ejemplo de evento de registro de error de inicio de sesión

Aquí se muestra un ejemplo de un evento de registro de un error de inicio de sesión debido a una contraseña incorrecta: 
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}

Indicadores de un ataque

Identificar un ataque en una fase temprana puede ser difícil, pero estas son algunas señales que puede buscar en sus logs, junto con consultas de búsqueda de ejemplo:
  • Un número elevado de inicios de sesión fallidos con username no válidos o intentos de inicio de sesión de usuarios inexistentes.
    • type:"fu"
    • description:"missing username parameter"
    • description:"Wrong email or password"
  • Una gran cantidad de cuentas que alcanzan el límite de intentos fallidos de inicio de sesión.
    • type:"limit_wc"
  • Un número elevado de intentos de inicio de sesión con una contraseña filtrada.
    • type:"pwd_leak"
Durante la investigación, tome nota de las direcciones IP, las aplicaciones objetivo y las conexiones o que se utilizan.
La página Sintaxis de consultas de búsqueda de logs proporciona detalles sobre la sintaxis de consultas de logs de Auth0 e incluye más consultas de ejemplo.

Identificar cuentas de usuario comprometidas

Para identificar cuentas de usuario que puedan haber sido comprometidas, puede buscar:
  • Eventos de inicio de sesión correctos desde una dirección IP sospechosa:
    • type:"s" AND ip:"99.xxx.xxx.xxx"

Comprobar la actividad de una cuenta de usuario comprometida

Después de identificar una cuenta de usuario comprometida, conviene revisar la actividad de la cuenta:
  • Busque otros eventos en los registros con el mismo user_id: user_id:"auth0|ABC123"
  • Revise los campos client_name o client_id del evento de registro para ver a qué aplicaciones se accedió. Anote cuándo se produjo el acceso.
  • Compruebe si hubo acceso administrativo o cambios en la configuración de Auth0
  • Busque llamadas recientes a la : type:"sapi"

Eliminar o bloquear usuarios desde el Dashboard

  1. Ve a Dashboard > User Management > Users.
  2. Busca el usuario que quieres eliminar o bloquear.
  3. Haz clic en el botón ”” ubicado en el extremo derecho de la fila del usuario.
  4. Selecciona Block o Delete y confirma.