À propos de Okta ThreatInsight
Okta ThreatInsight ajoute une sécurité supplémentaire à votre org en évaluant les tentatives de connexion afin de détecter les activités potentiellement suspectes.
Vous pouvez consigner des événements à des fins d'audit ou bloquer le trafic réseau suspect. Si Okta ThreatInsight détecte des événements suspects, il enregistre l'événement et peut même refuser la demande d'accès.
Okta ThreatInsight bloque certains types de trafic malveillant. Cette technologie ne peut toutefois pas garantir une détection à 100 % des adresses IP malveillantes, ni une détection à 100 % des menaces.
Attaques basées sur les informations d'identification
ThreatInsight est conçu pour prévenir les attaques basées sur les identifiants. Ces dernières reposent sur l'utilisation d'identifiants mal protégés, courants ou volés, dans le but d'usurper l'identité d'utilisateurs légitimes ou de prendre le contrôle de comptes légitimes. Par exemple, les attaques par bourrage d'identifiants reposent sur des noms d'utilisateur et des mots de passe volés à l'occasion de violations de données, capturés au cours de campagnes d'hameçonnage ou revendus sur des forums en ligne. Les attaquants utilisent des outils automatisés pour tester ces identifiants sur d'autres services en ligne. Les attaques par force brute et par pulvérisation de mots de passe reposent sur le test systématique ou automatisé de mots de passe faibles et courants, souvent associés à un ensemble connu de noms d'utilisateurs.
L'évaluation des menaces se produit avant l'authentification
ThreatInsight évalue les demandes de connexion afin d'identifier les menaces potentielles avant l'authentification des utilisateurs. Si une requête de connexion provient d'une adresse IP potentiellement malveillante, Okta refuse l'accès à l'org à l'utilisateur.
Les requêtes bloquées ne sont pas traitées comme des échecs de connexion de l'utilisateur, car ThreatInsight traite ces requêtes séparément des tentatives d'authentification infructueuses. Cette approche évite que des utilisateurs se retrouvent bloqués et offre une analyse plus fiable des adresses IP potentiellement malveillantes.
Analyse des données et machine learning pour la détection des menaces
ThreatInsight évalue les requêtes d'authentification adressées aux orgs Okta et aux points de terminaison d'authentification Okta. Il analyse les données pour identifier les adresses IP potentiellement suspectes, apprend de chaque situation et renforce la protection pour toutes les orgs Okta.
Vous pouvez configurer ThreatInsight pour enregistrer les événements en vue d'une analyse ultérieure, bloquer le trafic, et augmenter la protection qu'elle confère jusqu'à ce que plus aucune attaque ne soit détectée.
Voir Événements de Journal système pour Okta ThreatInsight pour plus d'informations.
Configuration recommandée
Vous pouvez activer ThreatInsight pour protéger votre org Okta en tant que service autonome ou en complément d'autres appareils et services de sécurité :
- Pare-feux d'application Web
- Services de gestion des bots
- Services d'atténuation des attaques DDoS
- Services de gestion des alertes de sécurité
Okta vous recommande d'activer ThreatInsight pour consigner et bloquer le trafic suspect.
| Recommandation d'Okta | Activez Okta ThreatInsight afin de consigner et de bloquer les tentatives d'authentification provenant d'adresses IP suspectes. |
| Impact sur la sécurité | Critique |
| Impact sur utilisateur final | Faible |
Pour en savoir plus sur les recommandations de sécurité d'Okta, consultez HealthInsight.
Adresses IP de proxy fiables et de proxy qui ne sont pas de confiance
Avec ThreatInsight, Okta peut correctement identifier l'adresse IP des clients à l'origine des requêtes qui ne sont pas transmises par proxy à Okta via des adresses IP de proxy approuvées. Si les requêtes sont transmises à Okta via des adresses IP de proxy approuvées :
- Inclure uniquement les adresses IP en lesquelles vous avez confiance, quelle que soit la zone réseau.
- Okta ThreatInsight ne peut pas identifier l'adresse IP du client d'origine. Si vous ne configurez pas correctement les proxys de confiance pour les zones réseau, la détection des menaces est moins efficace.
Voir Zones réseau et Exclure des zones d'IP de l'évaluation Okta ThreatInsight pour plus d'informations.