攻撃を特定して調査する

このドキュメントでは、[攻撃と調査] 機能を使用して、認証情報の不正使用などのセキュリティの脅威を特定して調査する方法について説明します。

reCAPTCHA は攻撃を検出し、 Google Cloud コンソールの [攻撃] ページに表示します。潜在的な攻撃の一覧を表示し、調査の詳細をドリルダウンして、攻撃の範囲と影響を把握できます。

概要

[攻撃と調査] 機能は、サイトを標的とする攻撃を特定するのに役立ちます。reCAPTCHA はトラフィックを分析して不正使用のパターンを特定します。reCAPTCHA は異常な動作を検出し、潜在的な攻撃としてフラグを設定します。

サポートされている攻撃タイプ

攻撃はタイプ別に分類されます。攻撃の種類を把握することで、調査を調整できます。次の攻撃タイプがサポートされています。

クレデンシャル スタッフィング: このタイプの攻撃では、盗まれたユーザー名とパスワードのリストを使用して、ユーザー アカウントへの不正アクセスを試みます。

攻撃を表示して調査する

検出された攻撃のリストを表示するには、 Google Cloud コンソールの [攻撃] ページに移動します。

[攻撃] ページには、検出された攻撃と、脅威の特定と優先順位付けに役立つ重要な情報が表示されます。攻撃をクリックすると、[攻撃の詳細] ページが開き、包括的な調査ビューが表示されます。

攻撃の範囲を把握するには、まず影響を評価します。[攻撃の詳細] ページの情報は、インシデントの規模を把握するのに役立ちます。これにより、直ちに調査が必要なインシデントの優先順位を付けることができます。

トラフィック パターンを分析する

イベント タイムラインを使用して、攻撃ライフサイクルを可視化します。不正行為の急増を探して、攻撃が最も激しかった時期を特定します。[Potentially Legitimate] イベントを確認します（利用可能な場合）。これらのリクエストは正当に見えますが、検出された攻撃とパターンが一致しています。これは、高度な bot の動作またはネットワークの侵害を示している可能性があります。

脅威を特定してブロックする

攻撃を停止して今後の攻撃を防ぐには、攻撃の特徴と発生元を特定する必要があります。詳細なイベントリストでは、個々のリクエストを調べて共通点を確認できます。イベント内の次のデータでパターンを探します。

• サイトに報告されたユーザー IP: 攻撃が特定のサブネットから発信されているかどうかを確認します。
• サイトに報告したユーザー エージェント: 特定のブラウザ バージョンまたはボットのシグネチャを識別します。
• アカウント保護ラベル: 不審なログイン アクティビティやアカウントの乗っ取りの兆候を探します。
• スコア: reCAPTCHA がこれらの特定のリクエストにスコア付けする方法を確認します。

これらの分析情報を使用して、ファイアウォール ルールを構成するか、reCAPTCHA セキュリティ ポリシーを調整します。

調査ステータスを管理する

ステータスを更新することで、調査の進捗状況を追跡できます。ステータスを変更するには、[攻撃の詳細] ページで [ステータスを設定] をクリックし、適切なステータスを選択します。

• 新規: 新たに検出された攻撃のデフォルトのステータス。
• アクティブ: 調査が進行中であることを示します。
• Closed: 攻撃の調査が完了したことを示します。後で新しい不審なイベントが検出されると、ステータスは自動的に [Closed] から [Active] に変わります。

次のステップ

• reCAPTCHA のユーザー アカウント保護機能について学習する。