Bei unserem Kunden ist für die VPN-Einwahl ein OTP-Code erforderlich. Dies hat zur Folge, dass der Loginversuch im ersten Abschnitt fehlschlägt und entsprechend geloggt wird. Nach diesem Auth-Fehler erfolgt dann die OTP-Code Abfrage.
In dem Alerting-Center-Bericht (E-Mail) steht dann nur das Datum,eine generelle Auth.-Fehlermeldung und die Uhrzeit.
Für uns ist so nicht ersichtlich, ob es sich im einen "Authorisierten" Fehlversuch handelt, oder ob es tatsächlich ein Versuch von einem unberechtigten Dritten war. Es wäre aus unserer Sicht sehr Hilfreich oder auch Sinnvoll, wenn in diesem Bericht auch der User aufgeführt wird, der sich authentifizieren wollte und ggf. auch im Anschluss die erfolgreiche Authentifizierung, damit wir sehen, dass es sich eben nicht um einen unberechtigten Dritten handelte.
Alternativ könnten die Fehlermeldungen auch gefiltert werden, wenn im Anschluss der richtige OTP folgte.
Wie im angehangenen Screenshot zu sehen, ist es so ohne weiteres nicht auszuwerten, ob der Login berechtigt war oder nicht.
Wenn dann pro Tag bis zu 100 oder mehr loginversuche stattgefunden haben ist es sehr Zeitintensiv dem nachzugehen.