Détections des risques
Apprenez ce que signifie les détections des risques et comment automatiser votre réponse à l'aide de la politique Risques pour l'entité.
La détection des risques dans votre org réduit l'exposition : les attaquants présumés sont rapidement bloqués pour l'accès aux apps, et les notifications permettent l'examen et la remédiation. Automatisez ensuite la réponse pour garantir une mise en service plus rapide des étapes d'atténuation et réduisez la dépendance des utilisateurs à l'égard de votre support technique.
Comment utiliser ces ressources
Les détections des risques sont les types de tactiques, techniques et procéduress utilisées pour attaquer les identitités ITP expose les détections des risques dans les événements user.risk.detect dans le System Log, ce qui permet à vos équipes de sécurité d'avoir une meilleure visibilité sur les tendances et schémas malveillants. Cela les aide à déterminer quand des mesures de sécurité supplémentaires sont nécessaires.
Chaque ressource contient des sections dédiées au contexte de détection, au niveau de risque, à la configuration de la politique et à la politique de remédiation. Examinez le contexte afin de comprendre les conditions qui conduisent à chaque détection. Les détections à haut risque indiquent une probabilité élevée d'activité de l'utilisateur suspecte. Utilisez la section de configuration de la politique pour automatiser la réponse, puis suivez les étapes de remédiation.
Détections
|
Détection |
Niveau de risque |
Résumé |
|---|---|---|
| Violation d'identifiant détectée | Élevé | Une combinaison nom d'utilisateur/mot de passe utilisée pour se connecter à votre org Okta est apparue dans une liste tierce de violations de données disponible publiquement. |
| Action critique d'une entité depuis une adresse IP à haut risque | Élevé | Un utilisateur effectue une action sensible et critique à partir d'une adresse IP qu'Okta ThreatInsight a signalée comme une menace élevée. |
| Okta Threat Intelligence | Élevé | Okta identifie une activité à partir d'infrastructures utilisées par des acteurs de menaces. |
| Connexion suspecte à partir d'une adresse IP signalée par FastPass | Élevé | Cette détection est enregistrée lorsqu'un événement de connexion réussi provient d'une adresse IP qu'Okta FastPass a précédemment signalée lors d'une tentative d'hameçonnage. |
| Connexion suspecte à partir d'une adresse IP signalée dans une attaque basée sur les identifiants | Élevé | Cette détection est enregistrée lorsqu'une adresse IP précédemment impliquée dans une attaque de connexion échouée à volume élevé est utilisée pour se connecter à votre org. |
| Ce n‘était pas moi | Élevé | Cette détection est déclenchée lorsqu'un utilisateur signale activement un événement de sécurité comme étant frauduleux. |
| Risque utilisateur influencé par une session | Moyen | Le niveau de risque de la session d'un utilisateur passe à Élevé. |
| Suspicion d'attaque par force brute | Moyen | Okta constate un taux élevé d'échecs de tentatives de connexion utilisant mot de passe ou authentification MFA. |
| Accès suspect à une application | Moyen | Cette détection est enregistrée lorsqu'Okta détecte des tentatives d'un attaquant visant à collecter des cookies de session d'app (fournisseur de services). |
| Risque utilisateur signalé par l'administrateur | Faible, moyen ou élevé | Un administrateur modifie manuellement le niveau de risque d'un utilisateur en Faible, Moyen ou Élevé. |
| Risque signalé par le fournisseur d'événements de sécurité | Faible, Moyen ou Élevé | Un partenaire de sécurité intégré envoie un signal à Okta via le SSF (Shared Signals Framework). |