Risque utilisateur influencé par une session
Cette détection est enregistrée lorsque le niveau de risque de la session d'un utilisateur passe à élevé.
Niveau de risque de détection : moyen
Si la session active de l'utilisateur présente des schémas qui correspondent au détounement de session, au vol de jeton ou au rejeu de jeton, ITP élève le risque de la session à Élevé. En conséquence, ITP élève le risque de l'entité (utilisateur) à moyen. Pour en savoir plus sur la protection de session et les options de configuration disponibles, consultez Protection de session.
Stratégie MITRE
technique MITRE
Utiliser un autre matériel d'authentification : cookie de session Web
Configuration de la politique
- Détection : risque utilisateur basé sur la session
- Effectuer cette action : exécutez un workflow pour notifier un administrateur
Politique de remédiation
Examinez la session signalée comme à haut risque afin de détecter toute activité malveillante. Exécutez la requête suivante dans le System Log : eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Session Influenced User Risk"
Vous pouvez consulter l'activité de la session en utilisant l'externalSessionId renseigné dans l'événement user.risk.detect correspondant.