Mesures
Le Centre de sécurité utilise les événements du journal du locataire pour identifier des modèles qui sont généralement des indicateurs de types d’attaques connus. Nous classifions les modèles d’événements de journal du locataire en catégories : trafic normal, menaces de bourrage d’identifiants, menaces d’attaque lors de l’inscription et menaces de contournement du MFA.
La classification des codes de type d’événements peut être modifiée. Évitez de mettre en œuvre des solutions qui dépendent des définitions actuelles du code d’événements de journaux.
Trafic normal
Nous utilisons le trafic normal pour établir une référence par rapport aux différents types de menaces que nous pouvons observer. Le trafic normal inclut tous les événements réussis et échoués pour une heure donnée, ce qui comprend les codes d’événement suivants :
| Code d’événement | Événement |
|---|---|
s |
Connexion réussie |
ss |
Inscription réussie |
sepft |
Échange réussi du mot de passe contre le jeton d’accès |
f |
Échec de la connexion de l’utilisateur |
fu |
Échec de la connexion de l’utilisateur en raison d’un nom d’utilisateur non valide |
fp |
Échec de la connexion de l’utilisateur en raison d’un mot de passe non valide |
pwd_leak |
Tentative de connexion avec un mot de passe divulgué |
Bourrage d’identifiants.
Nous identifions les menaces de bourrage d’identifiants dans une seule heure avec les codes d’événement suivants :
| Code d’événement | Événement |
|---|---|
f |
Échec de la connexion de l’utilisateur |
fu |
Échec de la connexion de l’utilisateur en raison d’un nom d’utilisateur invalide |
fp |
Échec de la connexion de l’utilisateur en raison d’un mot de passe non valide |
pwd_leak |
Tentative de connexion avec un mot de passe ayant fait l’objet d’une fuite |
limit_wc |
IP bloquée pour >10 tentatives de connexion échouées sur un seul compte |
limit_sul |
Utilisateur bloqué pour >20 connexions par minute à partir de la même adresse IP |
limit_mu |
IP bloquée pour >100 tentatives de connexion échouées ou >50 tentatives d’inscription |
Attaque lors de l’inscription.
Nous identifions les menaces d’attaques lors de l’inscription en une seule heure avec les codes d’événement suivants :
| Code de l’événement | Événement |
|---|---|
fs |
Échec d’inscription |
Contournement de la MFA
Nous identifions les menaces de contournement de la MFA dans une seule heure avec les codes d’événement suivants :
| Code d’événement | Événement |
|---|---|
gd_send_email |
Envoi de courriel |
gd_send_pn |
Envoi de notification poussée |
gd_send_sms |
SMS envoyé |
gd_send_voice |
Envoi d’appel vocal |
gd_auth_failed |
Échec de l’authentification OTP |
gd_auth_rejected |
Authentification OTP rejetée |
gd_otp_rate_limit_exceed |
Trop d’échecs d’authentification OTP |
gd_recovery_failed |
Échec de la récupération |
gd_recovery_rate_limit_exceed |
Trop d’échecs de récupération |
gd_webauthn_challenge_failed. |
Erreur de navigateur WebAuthn |