Okta Threat Intelligence

La détection Okta Threat Intelligence est enregistrée lorsqu'Okta identifie une activité provenant d'une infrastructure utilisée par des acteurs malveillants. Par exemple, le compte est signalé lorsqu'une tentative de connexion provient d'une adresse IP qu'Okta identifie avec un haut niveau de confiance comme faisant partie d'une opération d'hameçonnage.

Niveau de risque de détection : élevé

Ces détections sont considérées comme à haut risque, car Okta Threat Intelligence sélectionne et qualifie ces interactions. Les adresses IP qui hébergent l'infrastructure sont associées aux événements dans ITP pendant de courtes périodes.

Configuration de la politique

Dans votre politique de risques pour l'entité, définissez ces conditions :

  • Détection : Okta Threat Intelligence
  • Niveau de risques pour l'entité : élevé
  • Effectuer cette action : exécutez un workflow afin de déterminer si l'utilisateur s'est authentifié via l'infrastructure malveillante.
    1. Si un événement est identifié, ajoutez une action Universal Logout pour mettre fin à toutes les sessions actives de l'utilisateur.
    2. Si aucun événement n'est identifié, exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

  1. Action immédiate : exécuter le workflow. Selon la configuration de votre politique, Universal Logout doit mettre fin à la session.

  2. Blocage de la menace : ajoutez l'adresse IP malveillante à une zone du réseau bloquée afin d'empêcher toute tentative future depuis cette source.

  3. Enquête : examinez le System Log pour l'événement concerné. Notez l'adresse IP, agent utilisateur et toutes les actions que l'attaquant a tenté d'effectuer. Les événements pertinents incluent user.mfa.factor.activate, user.mfa.factor.deactivate, user.mfa.factor.update, user.mfa.factor.suspend, user.mfa.factor.unsuspend et user.mfa.factor.reset_all. Vous pouvez également examiner la messagerie de l'utilisateur à la recherche d'emails suspects et analyser le trafic réseau récent pour détecter des signes de compromission. Si vous suspectez des tentatives d'hameçonnage par SMS, contactez directement les utilisateurs.

  4. Sécurisation du compte :

    • Contactez l'utilisateur via un canal hors bande (appel téléphonique, Slack/Teams) afin de confirmer qu'il n'est pas à l'origine de l'activité.

    • Lancez une réinitialisation obligatoire du mot de passe pour l'utilisateur.

    • Passez en revue avec l'utilisateur tous les facteurs MFA enrôlés afin de vous assurer que l'attaquant n'a pas inscrit son propre appareil.

Certaines méthodes de détection ne nécessitent pas de requête de connexion pour atteindre avec succès les services Okta ; il n'existe donc aucun événement de connexion utilisateur correspondant dans le System Log. Cela peut se produire lorsque des requêtes mal formatées sont redirigées vers Okta par un site d'hameçonnage. Examinez les journaux d'entrée et de sortie web et email de votre environnement pour toute adresse IP associée à ces détections afin d'identifier d'autres tentatives de ciblage par l'acteur malveillant.