Accès suspect à l'app

Cette détection est enregistrée lorsque ITP détecte des tentatives d'un attaquant visant à collecter des cookies de session d'app (fournisseur de services).

Niveau de risque de détection : moyen

Il s'agit d'un indicateur d'une attaque par détournement de session. Un exemple courant est lorsqu'un acteur malveillant vole le cookie de session Okta d'un utilisateur et l'utilise pour accéder rapidement à plusieurs apps. Il s'agit d'une enquête hautement prioritaire, même si le niveau de risque est moyen. Cela implique une session active et authentifiée.

Configuration de la politique

• Détection : Accès suspect à l'app
• Effectuer cette action : exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

1. Enquête : recherchez dans le System Log les événements d'accès aux apps. Vérifiez si l'adresse IP ou l'agent utilisateur correspond aux autres sessions légitimes de l'utilisateur.

2. Sécurisation du compte :

   • Accédez au profil de l'utilisateur dans l'Admin Console.

   • Cliquez sur Effacer les sessions utilisateur pour invalider le cookie volé et déconnecter l'attaquant.

   • Contactez l'utilisateur pour déterminer si sa session a été compromise (par exemple, un logiciel malveillant sur son appareil, une attaque d'hameçonnage).

   • Analysez l'appareil de l'utilisateur à la recherche de logiciels malveillants.