In diesem Dokument wird beschrieben, wie Sie mit der Funktion „Angriffe und Untersuchungen“ Sicherheitsbedrohungen wie Credential Stuffing erkennen und untersuchen.
reCAPTCHA erkennt Angriffe und zeigt sie auf der Seite Angriffe in der Google Cloud Console an. Sie können eine Liste potenzieller Angriffe aufrufen und die Untersuchungsdetails aufrufen, um den Umfang und die Auswirkungen eines Angriffs zu ermitteln.
Übersicht
Mit der Funktion „Angriffe und Untersuchungen“ können Sie Angriffe auf Ihre Websites erkennen. reCAPTCHA analysiert Ihren Traffic, um Missbrauchsmuster zu erkennen. reCAPTCHA erkennt ungewöhnliches Verhalten und kennzeichnet es als potenziellen Angriff.
Unterstützte Angriffstypen
Angriffe werden nach Typ kategorisiert. Wenn Sie den Angriffstyp kennen, können Sie Ihre Untersuchung entsprechend anpassen. Die folgenden Angriffstypen werden unterstützt:
Credential Stuffing: Bei dieser Art von Angriff werden Listen mit gestohlenen Nutzernamen und Passwörtern verwendet, um unbefugten Zugriff auf Nutzerkonten zu erhalten.
Angriffe ansehen und untersuchen
Eine Liste der erkannten Angriffe finden Sie in der Google Cloud Console auf der Seite Angriffe.
Auf der Seite Angriffe werden erkannte Angriffe zusammen mit wichtigen Informationen aufgeführt, die Ihnen helfen, Bedrohungen zu identifizieren und zu priorisieren. Wenn Sie auf einen Angriff klicken, wird die Seite Angriffsdetails geöffnet, auf der Sie eine umfassende Übersicht über die Untersuchung erhalten.
Um den Umfang eines Angriffs zu verstehen, sollten Sie zuerst seine Auswirkungen bewerten. Die Informationen auf der Seite Angriffsdetails helfen Ihnen, das Ausmaß des Vorfalls zu verstehen, damit Sie priorisieren können, welche Untersuchungen sofortige Aufmerksamkeit erfordern.
Trafficmuster analysieren
Mithilfe der Ereigniszeitachse können Sie den Angriffszyklus visualisieren. Suchen Sie nach Spitzen bei Betrügerischen Aktivitäten, um festzustellen, wann der Angriff am aggressivsten war. Prüfen Sie, falls verfügbar, Ereignisse vom Typ Potenziell legitim. Diese Anfragen sehen legitim aus, weisen aber Muster mit dem erkannten Angriff auf. Das kann auf ausgeklügeltes Bot-Verhalten oder ein kompromittiertes Netzwerk hindeuten.
Bedrohungen erkennen und blockieren
Um den Angriff zu stoppen und zukünftige Angriffe zu verhindern, müssen Sie seine Merkmale und seinen Ursprung ermitteln. In der detaillierten Ereignisliste können Sie einzelne Anfragen auf Gemeinsamkeiten untersuchen. Suchen Sie in den Ereignissen nach Mustern in den folgenden Daten:
- Von Website gemeldete Nutzer-IP-Adresse:Prüfen Sie, ob Angriffe von einem bestimmten Subnetz ausgehen.
- Von Website gemeldeter User-Agent:Hier können Sie bestimmte Browserversionen oder Bot-Signaturen identifizieren.
- Label für Kontoschutz:Suchen Sie nach Anzeichen für verdächtige Anmeldeaktivitäten oder Kontoübernahmen.
- Punktzahl:Sehen Sie sich an, wie reCAPTCHA diese spezifischen Anfragen bewertet.
Anhand dieser Informationen können Sie Ihre Firewallregeln konfigurieren oder Ihre reCAPTCHA-Sicherheitsrichtlinien anpassen.
Prüfungsstatus verwalten
Sie können den Fortschritt Ihrer Untersuchungen verfolgen, indem Sie den Status aktualisieren. Wenn Sie den Status ändern möchten, klicken Sie auf der Seite Angriffsdetails auf Status festlegen und wählen Sie den entsprechenden Status aus:
- Neu:Der Standardstatus für einen neu erkannten Angriff.
- Aktiv:Gibt an, dass die Untersuchung läuft.
- Geschlossen:Gibt an, dass Sie die Untersuchung des Angriffs abgeschlossen haben. Wenn später neue verdächtige Ereignisse erkannt werden, ändert sich der Status automatisch von Geschlossen zu Aktiv.