Windowsサインイン用のFIDO2認証の監査

このテキストは、WindowsクライアントデバイスにおけるFIDO2セキュリティキー認証の監査方法を概説しています。主に、WebAuthNおよびCTAPプロトコルに関連するWindowsイベントログの分析に焦点を当てています。認証イベントは、チャレンジ生成や応答処理などのステップを特定のイベントIDにマッピングすることで追跡できます。このプロセスには、Entra IDからのキー識別子が見つかる可能性のあるWebAuthN Ctap GetAssertion（ID 1003-1005）やCbor encode GetAssertionリクエスト（ID 1103）などのイベントの調査が含まれます。セキュリティ評価に不可欠な、PIN検証の成功および失敗の試みは、Ctap Usb Send Receiveイベントを通じて追跡できます。最後に、このテキストは、これらのイベント内のCBORエンコードされたデータを解析して、クレデンシャルIDやユーザープレゼンス情報などの重要な詳細を抽出する方法についても説明しています。