Consulter les événements du journal de protection contre les attaques

Les journaux de votre locataire contiennent des données utiles que vous pouvez utiliser pour créer des graphiques afin d’analyser le profil du trafic qui transite par votre locataire. Cela est utile pour évaluer l’activité de la . Par exemple, vous pouvez rechercher les événements suivants pour déterminer si vous êtes la cible d’une attaque :

Des pics anormaux de trafic vers le flux de connexion qui entraînent des erreurs (comme des erreurs de nom d’utilisateur ou de mot de passe incorrects).
Des pics anormaux de trafic provenant de régions géographiques associées à des adresses IP inhabituelles.

Ces événements ont tendance à se produire sans changement notable du taux de connexions réussies. Vous pouvez utiliser le champ event dans les données des journaux de votre locataire pour consulter les données de trafic du locataire. Nous vous recommandons de créer un histogramme quotidien des événements d’échec des types suivants :

Code d’événement	Événement
`f`	Échec de connexion
`fcoa`	Échec d’authentification inter-origine
`feccft`	Échec d’échange
`fepft`	Échec d’échange
`fsa`	Échec d’authentification silencieuse
`fu`	Échec de connexion (courriel/nom d’utilisateur invalide)
`pla`	Évaluation préalable à la connexion
`sepft`	Échange réussi

Ces événements d’échec dépendent du flux que vous avez configuré avec Auth0. L’exemple suivant montre une attaque de bourrage d’identifiants le 13/02, avec une forte hausse des événements de type fu, ce qui correspond à un échec lié à un nom d’utilisateur invalide (typique d’une attaque de bourrage d’identifiants).

Exemple de graphique des tendances des échecs de trafic

Surveillez toute hausse soudaine ou tout nombre anormal d’erreurs dues à un nom d’utilisateur ou à un mot de passe incorrect. Par exemple : attendez-vous à >30 000 erreurs par heure ?

Code d’événement	Événement
`s`	Connexion réussie
`fu`	Échec de connexion, courriel/nom d’utilisateur invalide
`fp`	Échec de connexion, mot de passe incorrect

Voici un exemple de ce à quoi les données pourraient ressembler.

Exemple de graphique montrant une hausse des échecs de connexion par rapport au trafic normal

Fréquence des événements de protection contre les attaques

Recherchez un volume de trafic anormalement élevé lié à des événements de protection contre les attaques, comme la ou des attaques par force brute visant plusieurs comptes.

Code d’événement	Événement
`limit_mu`	Adresse IP bloquée
`limit_wc`	Compte bloqué
`pwd_leak`	Mot de passe compromis à la connexion
`signup_pwd_leak`	Mot de passe compromis à l’inscription
`reset_pwd_leak`	Mot de passe compromis lors de la récupération du mot de passe

Voici à quoi les données pourraient ressembler.

Exemple de graphique des événements de détection d’anomalies

Nombre d’adresses IP générant des erreurs et leur provenance

Recherchez un nombre élevé d’adresses IP provenant de régions qui ne sont pas plausibles. Par exemple : vous attendez-vous à recevoir chaque jour du trafic de 10 000 adresses IP en provenance de Russie ? Examinez les données d’adresse ip en parallèle avec le trafic des événements fu pour déterminer d’où provient le trafic en échec. Les données de géolocalisation IP ne sont pas disponibles dans les journaux du locataire, à moins de pouvoir les enrichir à partir d’une autre source. Voici un exemple de ce à quoi les données peuvent ressembler :

Exemple de graphique des tentatives d’accès échouées par région

​Taux d’erreurs dans le flux de connexion

​Fréquence des événements de protection contre les attaques

​Nombre d’adresses IP générant des erreurs et leur provenance

​En savoir plus

Taux d’erreurs dans le flux de connexion

Fréquence des événements de protection contre les attaques

Nombre d’adresses IP générant des erreurs et leur provenance

En savoir plus