Pourquoi la stratégie « Échecs de connexion excessifs » ne détecte-t-elle pas d'alerte ?
1999
Created On 06/21/24 05:42 AM - Last Modified 02/27/25 17:52 PM
Question
Bien que nous ayons essayé de nombreux échecs de connexion, la politique « Échecs de connexion excessifs » n'a détecté aucune alerte.
Pourquoi la stratégie « Échecs de connexion excessifs » ne détecte-t-elle pas d'alerte ?
Environment
- Prisma Cloud Enterprise Edition
- Politique en cas d’anomalie
Answer
Pour déclencher cette alerte, nous devons effectuer des opérations de connexion ayant échoué dépassant la valeur seuil, suivies d’un événement de connexion réussi dans les 15 minutes.
En cas d'échec de l'événement de connexion, la stratégie ne détecte aucune alerte, même s'il y a eu de nombreux événements de connexion ayant échoué dans l'intervalle de 15 minutes.
Additional Information
Cette stratégie capture uniquement les événements de connexion à la console des utilisateurs IAM.
Les événements de connexion des opérations de ligne de commande avec des jetons de sécurité ne capturent pas les événements de connexion. De plus, les événements de connexion SSO ne génèrent normalement pas d’événements d’audit.