Connexion suspecte à partir d'une adresse IP signalée dans une attaque basée sur les identifiants

Cette détection est enregistrée lorsqu'une adresse IP précédemment impliquée dans une attaque de connexion échouée à volume élevé est utilisée pour se connecter à votre org. Les attaques à volume élevé comprennent la pulvérisation de mots de passe ou le bourrage d'identifiants.

Niveau de risque de détection : élevé

Cette détection est un exemple de l'effet de réseau d'Okta. Elle prend en compte l'activité des adresses IP à travers toutes les orgs de la base clients Okta afin d'identifier les attaques de connexion à volume élevé.

Stratégie MITRE

Accès aux identifiants

technique MITRE

Force brute : pulvérisation de mots de passe

Force brute : bourrage d'identifiants

Configuration de la politique

Dans votre politique de risques pour l'entité, définissez ces conditions :

• Détection : Connexion suspecte à partir d'une adresse IP signalée dans une attaque basée sur les identifiants
• Effectuer cette action : Universal Logout ou exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

1. Action immédiate : selon la configuration de votre politique, Universal Logout doit mettre fin à la session.

2. Blocage de la menace : ajoutez l'adresse IP malveillante à une zone du réseau bloquée afin d'empêcher toute tentative de connexion ultérieure depuis cette adresse IP.

3. Enquête : recherchez une activité malveillante dans les événements System Log pertinents pour la session signalée.

4. Sécurisation du compte :

   • Contactez l'utilisateur via un canal hors bande (appel téléphonique, Slack/Teams) afin de confirmer qu'il n'est pas à l'origine de l'activité.

   • Lancez une réinitialisation obligatoire du mot de passe pour l'utilisateur.

   • Passez en revue avec l'utilisateur tous les facteurs MFA enrôlés afin de vous assurer que l'attaquant n'a pas inscrit son propre appareil.