FastPassによってフラグ付けされたIPからの不審なログイン
この検出は、Okta FastPassが以前にフィッシング試行でフラグ付けしたIPアドレスからサインインイベントが成功したときに記録されます。
検出リスクレベル:高
このアカウント乗っ取り(ATO)検出では、Oktaのカスタマーベース全体でOkta FastPassによって特定されたフィッシング試行が使用されます。
ポリシーの構成
エンティティリスクポリシーで、次の条件を設定します。
- [Detection(検出)]:FastPassによってフラグ付けされたIPからの不審なログイン
- [Take this action(このアクションを実行)]:Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します
修復戦略
-
即時アクション:ポリシー構成に基づいて、Universal Logoutでセッションを終了します。
-
脅威をブロック:ブロックされるネットワークゾーンに悪意のあるIPアドレスを追加し、そのIPアドレスからのさらなるログイン試行を防止します。
-
調査:フラグ付けされたセッションに関連するSystem Logイベントで悪意のあるアクティビティを確認します。
-
アカウントを保護する:
-
帯域外の方法(通話、Slack/Teams)を使ってユーザーに連絡し、ユーザーがアクティビティの発信元ではないことを確認します。
-
ユーザーに必須のパスワードリセットを開始します。
-
ユーザーに登録済みのMFA要素をすべてレビューして、攻撃者が自身のデバイスを登録していないことを確認します。
-
-
より広範囲のアクション:この信号はアクティブなフィッシングキャンペーンをポイントします。調査チームは、そのIPアドレスから標的となった可能性のある他のユーザーも確認する必要があります。