Passer au contenu principal
L’examen des logs pour évaluer l’impact d’une attaque est une étape cruciale de votre plan de réponse aux incidents. Sur cette page, vous verrez comment accéder aux logs dans l’, ainsi que quelques exemples de requêtes de recherche dans les logs pour repérer des indicateurs d’attaque et examiner l’activité des comptes.

Vérifier les logs Auth0

  1. Connectez-vous à l’Auth0 Dashboard
  2. La page Logs se trouve sous Monitoring dans le menu de gauche.
  3. Sur la page Logs, vous verrez une barre de recherche, ainsi qu’un filtre et un sélecteur de date.
Logs dans Monitoring de l’Auth0 Dashboard
Sélectionnez un événement du journal dans la liste pour voir un Résumé de l’événement ainsi que d’autres Détails, y compris le JSON brut.

Structure du journal

Chaque événement du journal comporte les champs suivants :
ChampDescription
dateHorodatage indiquant quand cet événement s’est produit.
log_idL’ID de l’événement du journal.
typeLe type d’événement du journal.
descriptionLa description de l’événement.
connectionLe nom de la connexion associée à l’événement.
connection_idL’ID de la connexion associée à l’événement.
client_idLe client_id associé à l’événement.
client_nameLe nom de l’application associée à l’événement.
ipL’adresse IP d’où provient la requête à l’origine de l’événement du journal.
user_agentL’agent utilisateur associé à l’événement.
detailsUn objet contenant des informations supplémentaires sur cet événement du journal.
user_idL’ID utilisateur associé à l’événement.
user_nameLe nom d’utilisateur associé à l’événement.
strategyLa stratégie de connexion associée à l’événement.
strategy_typeLe type de stratégie de connexion associé à l’événement.

Exemple d’événement du journal pour un échec de connexion

Voici un exemple d’événement du journal pour un échec de connexion en raison d’un mot de passe incorrect : 
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}

Indicateurs d’une attaque

Il peut être difficile de repérer une attaque rapidement, mais voici certains éléments à surveiller dans vos journaux, avec des exemples de requêtes de recherche :
  • Nombre élevé d’échecs de connexion avec des noms d’utilisateur invalides ou de tentatives de connexion visant des utilisateurs inexistants.
    • type:"fu"
    • description:"missing username parameter"
    • description:"Wrong email or password"
  • Nombre élevé de comptes atteignant la limite des tentatives de connexion échouées.
    • type:"limit_wc"
  • Nombre élevé de tentatives de connexion utilisant un mot de passe compromis.
    • type:"pwd_leak"
Pendant votre enquête, notez les adresses IP, les applications ciblées et les connexions ou utilisés.
La page Syntaxe des requêtes de recherche dans les journaux fournit des détails sur la syntaxe des requêtes des journaux d’Auth0 et comprend d’autres exemples de requêtes.

Identifier les comptes d’utilisateur compromis

Pour identifier les comptes d’utilisateur qui pourraient avoir été compromis, vous pouvez rechercher :
  • Les événements de connexion réussie provenant d’une adresse IP suspecte :
    • type:"s" AND ip:"99.xxx.xxx.xxx"

Vérifier l’activité d’un compte d’utilisateur compromis

Après avoir identifié un compte d’utilisateur compromis, vous devriez vérifier l’activité du compte :
  • Recherchez d’autres événements du journal avec le même user_id : user_id:"auth0|ABC123"
  • Vérifiez les champs d’événement du journal client_name ou client_id pour voir à quelles applications l’accès a eu lieu. Prenez note du moment de l’accès.
  • Vérifiez s’il y a eu un accès administratif ou des modifications à la configuration d’Auth0
  • Recherchez des appels récents à  : type:"sapi"

Supprimer ou bloquer des utilisateurs dans l’Auth0 Dashboard

  1. Accédez à Auth0 Dashboard > Gestion des utilisateurs > Utilisateurs.
  2. Recherchez l’utilisateur à supprimer ou à bloquer.
  3. Cliquez sur le bouton «  » à l’extrême droite de l’utilisateur.
  4. Sélectionnez Bloquer ou Supprimer, puis confirmez.