Passer au contenu principal
Examiner les journaux pour évaluer l’incidence d’une attaque est une étape importante de votre plan d’intervention en cas d’incident. Sur cette page, vous verrez comment accéder aux journaux sur et quelques exemples de requêtes de recherche de journaux pour trouver des indicateurs d’une attaque et examiner l’activité du compte.

Vérifier les journaux Auth0

  1. Connectez-vous à Auth0 Dashboard
  2. La page des journaux est située sous Surveillance dans le menu à gauche.
  3. Sur la page des journaux, vous verrez une barre de recherche ainsi qu’une sélection de filtre et un sélecteur de date.
Dashboard Monitoring (Suivi) Logs (Journaux)
Sélectionnez un événement de journal à partir de la liste pour voir un Résumé de l’événement et plus de Détails incluant le JSON brut.

Structure du journal

Chaque événement de journal comprend les champs suivants :
ChampDescription
dateHorodatage du moment où cet événement s’est produit.
log_idL’identifiant de cet événement de journal.
typeType d’événement de journal
descriptionLa description de l’événement. .
connectionLe nom de connexion lié à l’événement.
connection_idL’identifiant de connexion lié à l’événement.
client_idL’ID client lié à l’événement.
client_nameLe nom du client lié à l’événement.
ipL’adresse IP d’où provient la requête à l’origine de l’événement.
user_agentL’agent utilisateur lié à l’événement.
detailsObjet contenant des informations complémentaires sur cet événement.
user_idL’identifiant de l’utilisateur lié à l’événement.
user_nameLe nom de l’utilisateur lié à l’événement.
strategyLa stratégie de connexion liée à l’événement.
strategy_typeLe type de stratégie de connexion lié à l’événement.

Exemple d’un événement de journal de connexion qui a échoué

Voici l’exemple d’un événement de journal pour une connexion échouée provoquée par un mot de passe incorrect : 
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}

Indicateurs d’une attaque

Repérer rapidement une attaque peut être difficile, mais voici certaines choses à rechercher dans vos journaux ainsi qu’un exemple de requêtes de demande :
  • Nombre élevé d’échecs de connexion avec des noms d’utilisateur invalides ou de tentatives de connexion pour des utilisateurs inexistants.
    • type:"fu"
    • description:"missing username parameter"
    • description:"Wrong email or password"
  • Grand nombre de comptes atteignant la limite de tentatives de connexion infructueuses.
    • type:"limit_wc"
  • Un nombre élevé de tentatives de connexion à l’aide d’un mot de passe compromis.
    • type:"pwd_leak"
Au cours de votre enquête, notez les adresses IP, les applications ciblées et les connexions ou fournisseurs d’identité utilisés.
La page Syntaxe de requête de recherche de journaux fournit des détails sur la syntaxe des requêtes de journal d’Auth0 et inclut d’autres exemples de requêtes.

Déterminer les comptes d’utilisateurs compromis

Pour déterminer les comptes d’utilisateurs susceptibles d’avoir été compromis, vous pouvez rechercher :
  • Événements de connexion réussis à partir d’une adresse IP suspecte :
    • type:"s" AND ip:"99.xxx.xxx.xxx"

Vérifier l’activité du compte utilisateur compromis

Après avoir déterminé qu’un compte utilisateur a été compromis, vérifiez l’activité de celui-ci :
  • Rechercher d’autres événements de journal avec le même user_id : user_id:"auth0|ABC123"
  • Vérifiez les champs d’événement de journal client_name ou client_id pour voir quelles applications ont été accédées. Notez le moment où l’accès a eu lieu.
  • Vérifiez l’accès à l’administration ou les modifications de configuration Auth0
  • Rechercher pour des appels de récents : type : « sapi »

Supprimer ou bloquer des utilisateurs du tableau de bord

  1. Allez à Dashboard > Gestion des utilisateurs > Utilisateurs.
  2. Recherchez l’utilisateur à supprimer ou à bloquer.
  3. Cliquez sur le bouton «  » à droite de l’utilisateur.
  4. Sélectionnez Bloquer ou Supprimer et confirmez.
I