Office365 Exchange Onlineのログについて、セッションIDを用いた攻撃者と一般ユーザーの判別法が公開されていました

Office365ではセキュリティを重視しており、各種ログから問題発生の有無を追うことができる仕組みが提供されています。

そんな中で、Exchange Onlineのログについて、セッションIDの観点から攻撃と通常アクセスを見分けるための手法が公開されていました。

セッション乗っ取りのケースではなく、ユーザーID/Passが漏洩した場合を焦点に、セッションIDを分けて管理することで悪意あるユーザーを見分けよう。というような内容でした。

また、セッションIDは基本認証では取得されないため、基本認証を無効化することを忘れないように。という注意も合わせて示されています。

ログの読み方などは、全般的にわかりにくいところも多いため、こういった内容を示してもらえるのはありがたいですね。

有事が発生した後であれば、こういった観点に目が行きやすいとは思うのですが、平常時から備えておけば、いざという時に役に立つと思います。ぜひ一読しておくことをお勧めします。

音楽：Fingers

（）のブログ