「過剰なログイン失敗」ポリシーでアラートが検出されないのはなぜですか?
1993
Created On 06/21/24 05:42 AM - Last Modified 02/27/25 17:52 PM
Question
多くのログイン失敗を試しましたが、「過剰なログイン失敗」ポリシーではアラートは検出されませんでした
「過剰なログイン失敗」ポリシーでアラートが検出されないのはなぜですか?
Environment
- Prisma Cloud Enterprise エディション
- 異常ポリシー
Answer
このアラートをトリガーするには、しきい値を超えるログイン操作の失敗に続いて、15分以内に成功したログインイベントを実行する必要があります
成功したログイン イベントがなかった場合、15 分間隔で失敗したログイン イベントが多数あったとしても、ポリシーはアラートを検出しません。
Additional Information
このポリシーは、IAM ユーザーのコンソールログインイベントのみをキャプチャします
セキュリティトークンを使用したコマンドライン操作からのログインイベントでは、ログインイベントはキャプチャされません。 また、SSO ログイン イベントは通常、監査イベントを生成しません。