攻撃防御ログイベントを表示する

テナントログには、テナントを通過するトラフィックの傾向を確認するグラフの作成に使える有用なデータが含まれています。これは、のアクティビティを評価する際に役立ちます。たとえば、攻撃を受けているかどうかを判断するには、次のようなイベントを確認できます。

エラー (ユーザー名またはパスワードの誤りなど) を伴う、ログインフローへのトラフィックの異常な急増
想定していない IP 地域からのトラフィックの異常な急増

このようなイベントは、成功ログイン率に大きな変化がないまま発生する傾向があります。テナントのトラフィックデータを確認するには、テナントログデータの event フィールドを使用できます。次の種類の失敗イベントについて、日次ヒストグラムを作成することをおすすめします。

Event Code	Event
`f`	ログイン失敗
`fcoa`	クロスオリジン認証の失敗
`feccft`	交換の失敗
`fepft`	交換の失敗
`fsa`	サイレント認証の失敗
`fu`	ログイン失敗 (無効なメールアドレス/ユーザー名)
`pla`	ログイン前の評価
`sepft`	交換の成功

これらの失敗イベントは、Auth0 で設定しているフローによって異なります。次の例は、02/13 に発生したクレデンシャルスタッフィング攻撃を示しています。ユーザー名の失敗を示す fu タイプのイベント (クレデンシャルスタッフィング攻撃でよく見られます) が大幅に急増しています。

ユーザー名またはパスワードの誤りによるエラーが急増していないか、または異常に多く発生していないかを確認します。たとえば、通常でも1時間あたり30,000件を超えるエラーが発生することはありますか？

Event Code	Event
`s`	ログイン成功
`fu`	ログイン失敗、無効なメールアドレス/ユーザー名
`fp`	ログイン失敗、誤ったパスワード

データは次のようになります。

攻撃防御イベントの発生率

や、複数のアカウントに対するブルートフォース攻撃などの攻撃防御イベントで、トラフィックが異常に増加していないか確認します。

イベントコード	イベント
`limit_mu`	ブロックされた IP アドレス
`limit_wc`	ブロックされたアカウント
`pwd_leak`	ログイン時に漏えいが検出されたパスワード
`signup_pwd_leak`	サインアップ時に漏えいが検出されたパスワード
`reset_pwd_leak`	パスワード復旧時に漏えいが検出されたパスワード

データは次のように表示されます。

エラーを発生させているIP数とその地域

不自然な地域から多数のIPが発生していないか確認してください。たとえば、ロシアから毎日 10,000 件ものIPによるトラフィックがあることは想定しているでしょうか。ip アドレスのデータを fu イベントのトラフィックとあわせて確認し、失敗トラフィックがどこから発生しているのかを特定してください。 IP のジオロケーションデータは、別の場所から補完できない限り、テナントログでは利用できません。データの例を以下に示します。

​ログインフローでのエラー発生率

​攻撃防御イベントの発生率

​エラーを発生させているIP数とその地域

​詳しくはこちら

ログインフローでのエラー発生率

攻撃防御イベントの発生率

エラーを発生させているIP数とその地域

詳しくはこちら