Lab · Module 01 Investigation Lab

IP & Authentication Log Analysis

วิเคราะห์ Log การยืนยันตัวตน — แยกทราฟฟิกอัตโนมัติ ตรวจจับการยึดบัญชี และ Impossible Travel

🎯 ภารกิจของผู้เรียน

ดาวน์โหลดชุดข้อมูล Log จริง คัดลอก Prompt ไปวางใน AI chatbot พร้อมแนบไฟล์ แล้วตรวจสอบว่า AI สามารถระบุบัญชีที่ถูกยึด, แยกทราฟฟิกอัตโนมัติออกจากมนุษย์ และตรวจจับ Impossible Travel ได้ครบถ้วนหรือไม่

✅ ตัวอย่าง: Credential Stuffing & Account Takeover ของผู้ใช้สิทธิ์สูง 📥 Download Mock Data
📋 สถานการณ์ (Scenario)

SOC ของหน่วยงานราชการพบกิจกรรมการยืนยันตัวตนผิดปกติในช่วงกลางดึก สงสัยว่าเป็นการโจมตีแบบ credential stuffing ที่ลุกลามจนยึดบัญชีของเจ้าหน้าที่ระดับสิทธิ์สูงได้สำเร็จ ชุดข้อมูลเป็น Log การยืนยันตัวตนครอบคลุมช่วงเกิดเหตุพร้อมวันปกติเป็น baseline ผู้สืบสวนต้องแยกกิจกรรมของมนุษย์ออกจากทราฟฟิกอัตโนมัติ และยืนยันว่ามีบัญชีใดถูกยึดจริง

📊 ตัวอย่างข้อมูลดิบ (Mock Raw Data) — snake_case schema

timestamp,username,ip_address,geo_country,auth_result,user_agent 2026-06-10 22:01:03,j.somchai,49.228.10.5,TH,SUCCESS,Mozilla/5.0 (Windows NT 10.0; Win64; x64) 2026-06-11 02:14:11,admin,185.220.101.7,RU,FAILED,curl/7.68.0 2026-06-11 02:14:13,admin,185.220.101.9,RU,FAILED,curl/7.68.0 2026-06-11 02:14:15,root,185.220.101.12,RU,FAILED,curl/7.68.0 2026-06-11 02:14:19,j.somchai,185.220.101.20,RU,FAILED,curl/7.68.0 2026-06-11 02:15:02,j.somchai,91.219.236.18,NL,SUCCESS,curl/7.68.0 2026-06-11 02:16:44,j.somchai,91.219.236.18,NL,SUCCESS,python-requests/2.31 2026-06-11 02:41:09,j.somchai,91.219.236.18,NL,SUCCESS,python-requests/2.31 2026-06-11 09:05:21,j.somchai,49.228.10.5,TH,SUCCESS,Mozilla/5.0 (Windows NT 10.0; Win64; x64)

📝 Prompt สำหรับผู้เรียน (คัดลอกไปใช้กับ AI)

You are a senior SOC analyst conducting an intrusion investigation. Analyze the attached authentication log and produce findings that:
1. Identify which account was successfully compromised and the exact timestamp of the takeover, justifying your conclusion with the surrounding log evidence.
2. Distinguish legitimate human activity from automated attack traffic, citing the specific user-agent strings and login-timing patterns that reveal scripted tooling.
3. Detect any 'impossible travel' by correlating timestamps with geo_country, and explain why the sequence is physically implausible.
4. Flag the IP addresses and country of origin most likely associated with anonymization infrastructure (e.g., Tor/VPN).
Present your conclusions as a prioritized incident summary in bullet points, suitable for escalation to the incident response lead.