Passer au contenu principal
Les journaux de votre locataire contiennent des données utiles que vous pouvez utiliser pour créer des graphiques afin d’observer le profil du trafic passant par votre locataire. Cela est utile lors de l’évaluation de l’activité de protection contre les attaques. Par exemple, vous pouvez rechercher les événements suivants pour déterminer si vous faites face à une attaque :
  • Des pics de trafic anormaux dans le flux de connexion entraînent des erreurs (noms d’utilisateur ou mots de passe incorrects).
  • Des pics anormaux de trafic provenant d’adresses IP locales inhabituelles.
Ces événements ont tendance à se produire sans beaucoup de changement dans le taux de connexions réussies. Vous pouvez utiliser le champ event des données du journal de votre locataire pour afficher les données de trafic du locataire. Nous vous recommandons de créer un histogramme quotidien des événements d’échec des types suivants :
Code événementÉvénement
fÉchec de la connexion
fcoaÉchec de l’authentification interorigine
feccftÉchec de l’échange
fepftÉchec de l’échange
fsaÉchec de l’authentification silencieuse
fuÉchec de connexion (courriel/nom d’utilisateur incorrect)
plaÉvaluation pré-connexion
sepftÉchange réussi
Ces événements d’échec dépendent du flux que vous avez configuré avec Auth0. L’exemple suivant présente une attaque par bourrage d’identifiants le 13 février, avec une forte augmentation d’événements de type fu qui correspondent à un échec de nom d’utilisateur (caractéristique d’une attaque par bourrage d’identifiants).
Exemple de graphique des tendances des défaillances de trafic

Taux d’erreurs dans le flux de connexion

Recherchez une augmentation ou un nombre anormal d’erreurs pour des noms d’utilisateur ou mots de passe incorrects. Par exemple : Prévoyez-vous >30 000 erreurs par heure?
Code d’événementÉvénement
sConnexion réussie
fuÉchec de connexion, adresse courriel/nom d’utilisateur non valide
fpÉchec de connexion, mot de passe incorrect
Voici un exemple de ce à quoi ressembleraient les données.
Exemple de graphique de la montée des échecs de connexion par rapport au trafic normal

Taux d’événements de protection contre les attaques

Recherchez un trafic anormalement élevé des événements de protection contre les attaques, tels que la détection des mots de passe frauduleux ou les attaques par force brute sur plusieurs comptes.
Code d’événementÉvénement
limit_muAdresse IP bloquée
limit_wcCompte bloqué
pwd_leakMot de passe violé lors de la connexion
signup_pwd_leakMot de passe violé lors de l’inscription
Voici un exemple de ce à quoi ressembleraient les données.
Exemple de graphique des événements de détection d’anomalies

Nombre d’adresses IP produisant des erreurs et leur localisation.

Recherchez un grand nombre d’adresses IP provenant de localisations incohérentes. Par exemple : Prévoyez-vous à un trafic issu de 10 000 adresses IP en provenance de Russie chaque jour? Observez les données des adresses ip en conjonction avec le trafic des événements fu pour déterminer d’où provient le trafic d’échec. Les données de géolocalisation d’adresses IP ne sont pas accessibles dans les journaux du locataire, à moins que vous ne puissiez les enrichir à partir d’un autre emplacement. Les paramètres régionaux d’adresses IP ne sont accessibles qu’à partir de Kibana, où les journaux sont déjà enrichis avec les informations. Voici un exemple de ce à quoi ressembleraient les données :
Exemple de graphique des tentatives d’accès échouées par région

En savoir plus

I