¿Por qué la directiva "Errores de inicio de sesión excesivos" no detecta una alerta?
1961
Created On 06/21/24 05:42 AM - Last Modified 02/27/25 17:52 PM
Question
Aunque intentamos muchos errores de inicio de sesión, la directiva "Errores de inicio de sesión excesivos" no detectó ninguna alerta.
¿Por qué la directiva "Errores de inicio de sesión excesivos" no detecta una alerta?
Environment
- Prisma Cloud Enterprise Edition
- Política de anomalías
Answer
Para activar esta alerta, debemos realizar operaciones de inicio de sesión fallidas que superen el valor de umbral seguido de un evento de inicio de sesión exitoso en un plazo de 15 minutos.
En caso de que no haya habido ningún evento de inicio de sesión correcto, la directiva no detectará ninguna alerta, incluso si hubo muchos eventos de inicio de sesión fallidos en el intervalo de 15 minutos.
Additional Information
Esta política captura solo los eventos de inicio de sesión de la consola de los usuarios de IAM.
Los eventos de inicio de sesión de las operaciones de la línea de comandos con tokens de seguridad no capturan eventos de inicio de sesión. Además, los eventos de inicio de sesión de SSO normalmente no generan eventos de auditoría.