メトリクス
Security Center(セキュリティセンター)はテナントログイベントを使用して、既知の攻撃タイプを示唆するパターンを識別します。テナントログイベントは、通常トラフィック、資格情報スタッフィングの脅威、サインアップ攻撃の脅威、MFAバイパスの脅威という複数のカテゴリーに分類されます。
イベントタイプコードの分類は変更される可能性があります。現在のログイベントコードの定義に依存したソリューションは実装しないでください。
通常トラフィック
通常トラフィックは、観察される可能性があるさまざまな脅威についてのベンチマークとして使用されます。通常トラフィックには、1時間内に発生した成功と失敗イベントのすべてが含まれ、それらのイベントには以下のイベントコードが使用されます。
| イベントコード | イベント |
|---|---|
s |
ログイン成功 |
ss |
サインアップ成功 |
sepft |
アクセストークンのためのパスワード交換が成功 |
f |
ユーザーログイン失敗 |
fu |
無効なユーザー名によりログイン失敗 |
fp |
無効なパスワードによりログイン失敗 |
pwd_leak |
漏洩したパスワードを使用したログイン試行 |
資格情報スタッフィング
1時間内に観察した資格情報スタッフィングの脅威は、以下のイベントコードで特定されます。
| イベントコード | イベント |
|---|---|
f |
ユーザーログインに失敗しました |
fu |
ユーザー名が無効なため、ユーザーログインに失敗しました |
fp |
パスワードが無効なため、ユーザーログインに失敗しました |
pwd_leak |
漏洩したパスワードでログインが試行されました |
limit_wc |
1つのアカウントへ10回以上ログインに失敗したため、IPがブロックされました |
limit_sul |
同じIPアドレスから1分当たり20回以上ログインに失敗したため、ユーザーがブロックされました |
limit_mu |
100回以上ログインに失敗したか、50回以上サインアップに失敗したため、IPがブロックされました |
サインアップ攻撃
1時間内に観察したサインアップ攻撃の脅威は、以下のイベントコードで特定されます。
| イベントコード | イベント |
|---|---|
fs |
失敗したサインアップ |
MFAバイパス
1時間内に観察したMFAバイパスの脅威は、以下のイベントコードで特定されます。
| イベントコード | イベント |
|---|---|
gd_send_email |
メールを送信しました |
gd_send_pn |
プッシュ通知を送信しました |
gd_send_sms |
SMSを送信しました |
gd_send_voice |
音声通話を送信しました |
gd_auth_failed |
OTP認証に失敗しました |
gd_auth_rejected |
OTP認証が拒否されました |
gd_otp_rate_limit_exceed |
OTP認証失敗の回数が多すぎます |
gd_recovery_failed |
復旧に失敗しました |
gd_recovery_rate_limit_exceed |
復旧失敗の回数が多すぎます |
gd_webauthn_challenge_failed |
WebAuthnブラウザー障害 |