複選題

24. 在網路安全的資安監控機制中，其一方式為使用身份驗證事件閾值(Authentication Event Thresholding)來識別異常使用者行 為，透過收集身份驗證事件，來建立使用者活動基準，並分析身份驗證事件是否一致來而達成偵測。關於可作為身份驗證事 件閾值的資料來源敘述，下列何者最為適切？(複選)
(A) 虛擬私人網路(Virtual private network, VPN)伺服器日誌檔
(B) 網路流量(Network flow)日誌檔
(C) 身份與存取管理(Identity and access management, IDAM)日誌檔
(D) 輕量型目錄存取通訊協定(Lightweight directory access protocol, LDAP)網路傳輸量

這題關鍵在於 題幹的用詞「可作為身份驗證事件閾值的資料來源」，我剛剛判掉了 (D)，但其實依照資安監控邏輯，(D) 也可以算。

我們再重新嚴謹分析一次：

(A) VPN 伺服器日誌檔
✅ VPN 登入一定涉及身份驗證（帳號/密碼、憑證、多因子驗證），所以日誌能提供「成功/失敗嘗試」等資訊。

(B) Network flow 日誌檔
❌ 主要是流量紀錄（來源 IP、目的 IP、port、流量大小），不是身份驗證事件，因此不適合做為 authentication thresholding。

(C) IDAM (Identity and Access Management) 日誌檔
✅ 本身就是核心身份驗證來源，例如 AD/SSO/OAuth，都會記錄 authentication 成功/失敗事件。

(D) LDAP 網路傳輸量
⚠️ 如果題目寫的是「傳輸量」，我會傾向視為純流量監控，不夠精準。
但若廣義解讀，LDAP 的交握過程本身就是身份驗證事件（Bind request/response）。在 SIEM 或 SOC 場景下，監控 LDAP 的驗證流量確實可以拿來當作閾值來源。
? 所以出題邏輯是把 (D) 視為 「LDAP 驗證相關事件」，因此它也是答案。

✅ 正確答案：A、C、D

? 快速記憶法：

• 會涉及「登入驗證」的系統日誌 → 算（VPN、AD/LDAP、IDAM、應用伺服器 log）。

• 只記錄「流量」但沒有登入事件 → 不算（Network flow、NetFlow、sFlow）。