Office365ではセキュリティを重視しており、各種ログから問題発生の有無を追うことができる仕組みが提供されています。
そんな中で、Exchange Onlineのログについて、セッションIDの観点から攻撃と通常アクセスを見分けるための手法が公開されていました。
Contextualizing Attacker Activity within Sessions in Exchange Online – You Had Me At EHLO…
セッション乗っ取りのケースではなく、ユーザーID/Passが漏洩した場合を焦点に、セッションIDを分けて管理することで悪意あるユーザーを見分けよう。というような内容でした。
また、セッションIDは基本認証では取得されないため、基本認証を無効化することを忘れないように。という注意も合わせて示されています。
ログの読み方などは、全般的にわかりにくいところも多いため、こういった内容を示してもらえるのはありがたいですね。
有事が発生した後であれば、こういった観点に目が行きやすいとは思うのですが、平常時から備えておけば、いざという時に役に立つと思います。ぜひ一読しておくことをお勧めします。
音楽:Fingers