Connexion suspecte à partir d'une adresse e-mail signalée par FastPass

Cette détection est enregistrée lorsqu'un événement de connexion réussi provient d'une adresse IP qu'Okta FastPass a précédemment signalée lors d'une tentative d'hameçonnage.

Niveau de risque de détection : élevé

Cette détection de la prise de contrôle du compte (ATO) utilise les tentatives d’hameçonnage identifiées par Okta FastPass dans la base clients Okta.

Configuration de la politique

Dans votre politique de risques pour l'entité, définissez ces conditions :

  • Détection : Connexion suspecte à partir d'une adresse e-mail signalée par FastPass
  • Effectuer cette action : Universal Logout ou exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

  1. Action immédiate : selon la configuration de votre politique, Universal Logout doit mettre fin à la session.

  2. Blocage de la menace : ajoutez l'adresse IP malveillante à une zone du réseau bloquée afin d'empêcher toute tentative de connexion ultérieure depuis cette adresse IP.

  3. Enquête : recherchez une activité malveillante dans les événements System Log pertinents pour la session signalée.

  4. Sécurisation du compte :

    • Contactez l'utilisateur via un canal hors bande (appel téléphonique, Slack/Teams) afin de confirmer qu'il n'est pas à l'origine de l'activité.

    • Lancez une réinitialisation obligatoire du mot de passe pour l'utilisateur.

    • Passez en revue avec l'utilisateur tous les facteurs MFA enrôlés afin de vous assurer que l'attaquant n'a pas inscrit son propre appareil.

  5. Action plus large : ce signal indique une campagne d'hameçonnage active. L'équipe chargée de l'enquête doit également vérifier les autres utilisateurs qui ont pu être ciblés depuis cette adresse IP.