Action critique d'une entité depuis une IP à haut risque

Cette détection est enregistrée lorsqu'un utilisateur effectue une action sensible et critique depuis une adresse IP qu'Okta ThreatInsight a signalée comme une menace élevée. Voici quelques exemples d'actions critiques :

  • Enrôlement d'un nouvel authentificateur MFA

  • Modification du mot de passe

  • Accès à l'Admin Console

Niveau de risque de détection : élevé

Cette détection suggère qu'un attaquant a potentiellement compromis le compte. L'attaquant peut tenter d'établir une persistance en ajoutant son propre MFA ou d'élever ses privilèges en accédant aux paramètres d'administration.

Cette détection peut ne pas être déclenchée si ThreatInsight est en mode blocage, car la requête peut être bloquée en périphérie.

Configuration de la politique

Dans votre politique de risques pour l'entité, définissez ces conditions :

  • Détection : Action critique d'une entité depuis une IP à haut risque
  • Effectuer cette action : Universal Logout ou exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

L'objectif principal de cette remédiation est de mettre fin immédiatement à l'activité de l'attaquant et de sécuriser entièrement le compte compromis.

  1. Action immédiate : selon la configuration de votre politique, Universal Logout doit mettre fin à la session.

  2. Blocage de la menace : ajoutez l'adresse IP malveillante à une zone du réseau bloquée. Ou activez ThreatInsight en mode blocage afin d'empêcher toute tentative ultérieure depuis ces adresses IP.

  3. Enquête : il s'agit d'une alerte critique. Consultez immédiatement le System Log pour identifier l'action spécifique.

    • Pour l'enregistrement MFA, vérifiez les authentificateurs de l'utilisateur. Si un nouvel authentificateur a été ajouté avec succès, réinitialisez-le immédiatement.

    • Pour un changement de mot de passe, vérifiez dans le System Log l'activité de l'utilisateur pendant la session immédiatement après la modification. Si la réinitialisation du mot de passe a réussi, réinitialisez-le immédiatement.

    • Pour accéder à l'Admin Dashboard, vérifiez toute activité malveillante dans l'Admin Console.

  4. Sécurisation du compte :

    • Forcez la réinitialisation du mot de passe.

    • Supprimez toutes les sessions et réinitialisez tous les facteurs MFA de l'utilisateur.

    • Si un accès administrateur est impliqué, lancez un audit plus large de toutes les activités d'administration à partir de ce moment.