Plan d’intervention en cas d’incident : À l’aide des journaux

Examiner les journaux pour évaluer l’incidence d’une attaque est une étape importante de votre plan d’intervention en cas d’incident. Sur cette page, vous verrez comment accéder aux journaux sur Auth0 Dashboard et quelques exemples de requêtes de recherche de journaux pour trouver des indicateurs d’une attaque et examiner l’activité du compte.

Vérifier les journaux Auth0

Connectez-vous à Auth0 Dashboard
La page des journaux est située sous Surveillance dans le menu à gauche.
Sur la page des journaux, vous verrez une barre de recherche ainsi qu’une sélection de filtre et un sélecteur de date.

Dashboard Monitoring (Suivi) Logs (Journaux)

Sélectionnez un événement de journal à partir de la liste pour voir un Résumé de l’événement et plus de Détails incluant le JSON brut.

Structure du journal

Chaque événement de journal comprend les champs suivants :

Champ	Description
`date`	Horodatage du moment où cet événement s’est produit.
`log_id`	L’identifiant de cet événement de journal.
`type`	Type d’événement de journal
`description`	La description de l’événement. .
`connection`	Le nom de connexion lié à l’événement.
`connection_id`	L’identifiant de connexion lié à l’événement.
`client_id`	L’ID client lié à l’événement.
`client_name`	Le nom du client lié à l’événement.
`ip`	L’adresse IP d’où provient la requête à l’origine de l’événement.
`user_agent`	L’agent utilisateur lié à l’événement.
`details`	Objet contenant des informations complémentaires sur cet événement.
`user_id`	L’identifiant de l’utilisateur lié à l’événement.
`user_name`	Le nom de l’utilisateur lié à l’événement.
`strategy`	La stratégie de connexion liée à l’événement.
`strategy_type`	Le type de stratégie de connexion lié à l’événement.

Exemple d’un événement de journal de connexion qui a échoué

Voici l’exemple d’un événement de journal pour une connexion échouée provoquée par un mot de passe incorrect :

{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}

Was this helpful?

Indicateurs d’une attaque

Repérer rapidement une attaque peut être difficile, mais voici certaines choses à rechercher dans vos journaux ainsi qu’un exemple de requêtes de demande :

Nombre élevé d’échecs de connexion avec des noms d’utilisateur invalides ou de tentatives de connexion pour des utilisateurs inexistants.
- type:"fu"
- description:"missing username parameter"
- description:"Wrong email or password"
Grand nombre de comptes atteignant la limite de tentatives de connexion infructueuses.
- type:"limit_wc"
Un nombre élevé de tentatives de connexion à l’aide d’un mot de passe compromis.
- type:"pwd_leak"

Au cours de votre enquête, notez les adresses IP, les applications ciblées et les connexions ou fournisseurs d’identité utilisés.

La page Syntaxe de requête de recherche de journaux fournit des détails sur la syntaxe des requêtes de journal d’Auth0 et inclut d’autres exemples de requêtes.

Déterminer les comptes d’utilisateurs compromis

Pour déterminer les comptes d’utilisateurs susceptibles d’avoir été compromis, vous pouvez rechercher :

Événements de connexion réussis à partir d’une adresse IP suspecte :
- type:"s" AND ip:"99.xxx.xxx.xxx"

Vérifier l’activité du compte utilisateur compromis

Après avoir déterminé qu’un compte utilisateur a été compromis, vérifiez l’activité de celui-ci :

Rechercher d’autres événements de journal avec le même user_id : user_id:"auth0|ABC123"
Vérifiez les champs d’événement de journal client_name ou client_id pour voir quelles applications ont été accédées. Notez le moment où l’accès a eu lieu.
Vérifiez l’accès à l’administration ou les modifications de configuration Auth0
Rechercher pour des appels de Management API récents : type : « sapi »

Supprimer ou bloquer des utilisateurs du tableau de bord

Allez à Dashboard > Gestion des utilisateurs > Utilisateurs.
Recherchez l’utilisateur à supprimer ou à bloquer.
Cliquez sur le bouton « … » à droite de l’utilisateur.
Sélectionnez Bloquer ou Supprimer et confirmez.

Sécuriser