← Tillbaka till Försvar

Detektering och loggning

Autentiseringsloggar

Autentiseringsloggar visar vem som försökte komma åt, varifrån och om det fungerade. De är viktiga för att upptäcka brute force, lösenordssprayning, misstänkta framgångar och missbruk av privilegierade konton.

Lärandemål

Det här ska du kunna efter genomläsning.
  • Tolka vanliga autentiseringsresultat och fält som användare, källa, metod och orsak
  • Upptäck brute force, sprayning och misstänkta framgångsmönster med enkla regler och baslinjer
  • Förstå varför privilegierad åtkomst kräver striktare övervakning och snabbare respons

I korthet

En snabb mental modell innan du går på djupet.
🧠
Fält med högt värde
  • Användar- och kontotyp (människa, tjänst, administratör)
  • Källa (IP, enhet, plats, inloggningstyp)
  • Mål (värd, tjänst, applikation)
  • Resultat och orsak (framgång, felorsak)
Vad du bör detektera först
  • Upprepade fel och lösenordsspraymönster
  • Framgång efter många misslyckanden för samma användare
  • Ny enhet eller ny källa för en privilegierad användare
  • Privilege användning kort efter en ny inloggning
Snabba triagekontroller
  • Är kontot förväntat och för närvarande aktivt
  • Förväntas källan för den användaren
  • Är målet ett system de bör komma åt
  • Finns det uppföljning av aktivitet som bekräftar avsikten

Vad du ska samla in

  • Framgångsrika och misslyckade autentiseringsförsök med användare, källa, värd, metod och orsak till misslyckande
  • Användning av privilegier och behörighetshöjningshändelser (till exempel sudo, användning av administratörsroll eller nya privilegierade sessioner)
  • MFA- och step-up-autentiseringshändelser när de finns tillgängliga, inklusive godkännanden, avslag och timeouts
  • Kontolivscykelförändringar som skapande, inaktivering, lösenordsåterställning, lockouter och uppdateringar av gruppmedlemskap

Hur angripare dyker upp i autentiseringsloggar

Mönster Vad du ser Varför det spelar roll Typiskt svar
Brute force Stora volymfel för ett konto från en eller några källor Direkt gissning mot ett målkonto eller tjänst Stryp och blockera källor, kräver MFA och granska exponerade tjänster
Lösenordssprayning Lågfrekventa fel spridda över många konton från en källa Designad för att undvika lockout-policyer när vanliga lösenord testas Upptäck över användare och tidsfönster, blockera källan och framtvinga starkare autentisering
Misslyckanden följt av lyckad inloggning En framgång kort efter flera misslyckanden för samma konto Indikerar ofta att gissade uppgifter eller stulna lösenord valideras Undersök enheten och sessionen, rotera autentiseringsuppgifter och granska den senaste aktiviteten
Omöjlig förflyttning Inloggningar från avlägsna nätverk eller platser på orealistiskt kort tid Kan indikera tokenstöld, delade konton eller riskfylld VPN användning Återkalla sessioner, kräva ökad autentisering och verifiera användaraktivitet

Gör loggar handlingsbara

  • Baslinjetypiska inloggningskällor och timmar per konto så att avvikelser sticker ut
  • Använd snävare varningsgränser för högt värde och administratörskonton, och varna vid förstagångsåtkomst
  • Korrelera inloggningar med endpoint-, VPN- och brandväggsdata för att bekräfta om åtkomsten var förväntad

Signaler att bevaka

Mönster som är värda att undersöka vidare.
📡
  • Många fel för en enskild användare under en kort period
  • En källa som försöker många olika användare över tiden
  • Ett privilegierat konto som autentiseras från en ny enhet eller nätverk
  • Lyckad inloggning följt av ovanlig behörighetsanvändning eller utgående anslutningar

FÖRDJUPNING

Hur man läser en autentiseringshändelse

Autentiseringsloggar beskriver vanligtvis ett försök och dess resultat. Fokusera på vem som försökte, varifrån, till vad, hur de autentiserades och varför det misslyckades om det misslyckades.

I Linux ser du ofta autentiseringsposter i /var/log/auth.log eller /var/log/secure, och på systemd system kan samma händelser efterfrågas genom journald. I Windows fångar säkerhetshändelseloggen detaljerad inloggningsaktivitet som lyckade och misslyckade inloggningar.

Separera autentisering från auktorisering. Autentisering bevisar identitet. Auktorisering är vad identiteten får göra efter inloggning.

Pålitliga detektionsmönster

Räknebaserade mönster kan vara användbara, men sammanhanget är viktigt. En skur av fel från en källa kan vara en lösenordsspray, eller så kan det vara en felkonfigurerad tjänst. Lägg till berikning som tillgångskriticitet, kända administratörsarbetsstationer och förväntade platser.

Leta efter sekvenser som tyder på kompromisser: många misslyckanden följt av framgång, framgång från en ny enhet direkt efter en lösenordsåterställning eller privilegieanvändning kort efter en ny inloggning.

Föredrar upptäckter som inkluderar ett tydligt nästa steg. Till exempel, pivotera från en misstänkt inloggning till att bearbeta aktivitet och nätverksanslutningar på samma värd.

Privilegerad tillgång förtjänar sina egna regler

Separera privilegierad autentisering från normal autentisering. Administratörsåtgärder bör vara sällsynta och väldefinierade, så de är lättare att varna om.

Spåra sudo-användning på Linux och privilegierad gruppanvändning på Windows och i molnkontrollplan. Övervaka skapandet av nya administratörskonton, nya SSH-nycklar och ändringar av MFA eller åtkomstpolicyer.

Använd nycklar eller konsekventa etiketter i revisionsregler och sökningar så att du snabbt kan hämta hela historien under en incident.

Triage som minskar falska positiva resultat

Ett snabbt triageflöde ställer tre frågor: är identiteten förväntad, är källan förväntad och är målet förväntat.

Undersök sedan metoden och orsakskoden. Till exempel kan många fel vara normala om en tjänst använder gamla referenser, men samma mönster för en mänsklig användare vid ovanliga timmar förtjänar uppmärksamhet.

Stäng slingan genom att kontrollera efter aktivitet som nya sessioner, nya processer, fjärrhanteringsverktyg eller tillgång till känslig data.

Linux kontra Windows kontra molnidentitetssignaler

Linux autentiseringstelemetri återspeglar ofta SSH, sudo, PAM och lokala kontohändelser. Den är stark för att upptäcka brute force-försök, nya nycklar och privilegieupptrappning genom sudo.

Windows identitetstelemetri kan inkludera inloggningstyp, autentiseringspaket och målkontodetaljer, vilket hjälper till att skilja interaktiva inloggningar från tjänstinloggningar.

Molnidentitetsloggar inkluderar ofta MFA-resultat, enhetsställning, beslut om villkorad åtkomst och riskfyllda inloggningssignaler. Behandla identitet som ett system över on prem, moln, VPN och fjärråtkomst.

Sessionisering och korrelation

En autentiseringshändelse är sällan slutet på historien. Länka det till en session och sedan till åtgärder. Korrelera inloggningar med processskapande, fjärrexekvering och åtkomst till privilegierade resurser.

Om telemetri tillhandahåller en sessionsidentifierare, behåll den. Om inte, uppskatta sessioner med hjälp av användare, källa, mål och ett tidsfönster som matchar din miljö.

Startjakter

• Topp misslyckade inloggningar efter användare och källa under den senaste dagen

• Framgång efter många misslyckanden för samma användare

• Framgångsrika inloggningar för privilegierade konton från nya källor

• Nya tjänstkonton eller nya SSH-nycklar

• Privilegeanvändning kort efter en ny inloggning