インシデント対応：ログを使う

ログをレビューして攻撃の影響を評価することは、インシデント対応計画において重要な手順の1つです。このページでは、Auth0 Dashboardでどのようにログにアクセスするかを説明し、攻撃の徴候を見つけてアカウントアクティビティをレビューするためのログ検索クエリ例を示します。

1. Auth0 Dashboardにログイン

2. ［Logs（ログ）］ページは、左側メニューの［Monitoring（モニタリング）］の下にあります。

3. ［Logs（ログ）］ページには、フィルターの選択肢と日付ピッカーとともに検索バーが表示されます。

一覧からログイベントを選択して、イベントの［Summary（概要）］と、未加工JSONを含む［Details（詳細）］を表示します。

各ログイベントには以下のフィールドがあります：

間違ったパスワードを入力したことでログインに失敗したログイベントの例：

{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}

初期の段階で攻撃を識別するのは困難かもしれませんが、ログで注意すべきことと、検索クエリ例を以下に示します：

• 無効なユーザー名を使ってログインに失敗した回数が多い、または存在しないユーザーが何度もログインを試した。

  • type:"fu"

  • description:"missing username parameter"

  • description:"Wrong email or password"

• ログイン失敗回数の上限に達したアカウント数が多い。

  • type:"limit_wc"

• 漏洩したパスワードを使ってログインを試みた回数が多い。

  • type:"pwd_leak"

調査時にはIPアドレス、標的とされたアプリケーション、使用された接続またはIDプロバイダーをメモします。

不正使用された可能性のあるユーザーアカウントを識別するには、以下を検索します：

• 疑わしいIPアドレスから試みて成功したログインイベント：

  • type:"s" AND ip:"99.xxx.xxx.xxx"

不正使用されたユーザーアカウントが識別できたら、そのアカウントのアクティビティをチェックします。

• 同じuser_idを使って他のログイベントを検索します：user_id:"auth0|ABC123"

• client_nameまたはclient_idのログイベントフィールドをチェックして、どのアプリケーションにアクセスしたかを確認します。アクセスがいつ発生したかをメモします。

• 管理アクセスまたはAuth0の構成変更がないかチェックします。

• 最近のManagement API呼び出しを検索：type:"sapi"

1. ［Dashboard］>［User Management（ユーザー管理）］>［Users（ユーザー）］に移動します。

2. 削除またはブロックするユーザーを検索します。

3. ユーザーの右端に表示される［...］ボタンをクリックします。

4. ［Block（ブロック）］または［Delete（削除）］を選択して確定します。