資格情報ベースの攻撃時にフラグ付けされたIPからの不審なログイン
この検出は、以前に大量のログイン攻撃失敗に関与したIPアドレスがorgへのサインインに使用された場合に記録されます。大量の攻撃として、パスワードスプレーや資格情報スタッフィングが挙げられます。
検出リスクレベル:高
この検出は、Oktaのネットワーク影響を示す例です。OktakカスタマーベースのすべてのorgでのIPアクティビティを検討して、大量のログイン攻撃を識別します。
ポリシーの構成
エンティティリスクポリシーで、次の条件を設定します。
- [Detection(検出)]:資格情報ベースの攻撃時にフラグ付けされたIPからの不審なログイン
- [Take this action(このアクションを実行)]:Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します
修復戦略
-
即時アクション:ポリシー構成に基づいて、Universal Logoutでセッションを終了します。
-
脅威をブロック:ブロックされるネットワークゾーンに悪意のあるIPアドレスを追加し、そのIPアドレスからのさらなるログイン試行を防止します。
-
調査:フラグ付けされたセッションに関連するSystem Logイベントで悪意のあるアクティビティを確認します。
-
アカウントを保護する:
-
帯域外の方法(通話、Slack/Teams)を使ってユーザーに連絡し、ユーザーがアクティビティの発信元ではないことを確認します。
-
ユーザーに必須のパスワードリセットを開始します。
-
ユーザーに登録済みのMFA要素をすべてレビューして、攻撃者が自身のデバイスを登録していないことを確認します。
-