Accès suspect à une application

Cette détection est enregistrée lorsque ITP détecte des tentatives d'un attaquant visant à collecter des cookies de session d'app (fournisseur de services).

Niveau de risque de détection : moyen

Il s'agit d'un indicateur d'une attaque par détournement de session. Un exemple courant est lorsqu'un acteur malveillant vole le cookie de session Okta d'un utilisateur et l'utilise pour accéder rapidement à plusieurs apps sur une courte période. Il s'agit d'une enquête hautement prioritaire, même si le niveau de risque est moyen. Cela implique une session active et authentifiée.

Stratégie MITRE

Collection / Exfiltration

technique MITRE

Dérober un cookie de session Web

Configuration de la politique

• Détection : accès suspect à l'application
• Effectuer cette action : exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

1. Enquête : exécutez la requête suivante dans le System Log : eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Suspicious App Access"

   Vérifiez si l'adresse IP ou l'agent utilisateur correspond aux autres sessions légitimes de l'utilisateur.

2. Sécurisation du compte :

   • Accédez au profil de l'utilisateur dans l'Admin Console.

   • Cliquez sur Effacer les sessions utilisateur pour invalider le cookie volé et déconnecter l'attaquant.

   • Contactez l'utilisateur pour déterminer si sa session a été compromise (par exemple, un logiciel malveillant sur son appareil, une attaque d'hameçonnage).

   • Analysez l'appareil de l'utilisateur à la recherche de logiciels malveillants.