高脅威IPからのエンティティの重大アクション

この検出は、Okta ThreatInsightが高脅威であるとフラグ付けしたIPアドレスからユーザーが機密性のある重大アクションを実行したときに記録されます。重大アクションの例として以下が含まれます。

• 新しいMFA Authenticatorの登録

• パスワードの変更

• Admin Consoleへのアクセス

検出リスクレベル：高

この検出は、攻撃者がアカウントを侵害した可能性があることを示します。独自のMFAを追加して永続化を確立したり、管理者設定にアクセスして権限を昇格したりできます。

ThreatInsightがブロックモードの場合、この検出はトリガーされない可能性があります。これはリクエストがエッジでブロックされる可能性があるためです。

ポリシーの構成

エンティティリスクポリシーで、次の条件を設定します。

• ［Detection（検出）］：高脅威IPからのエンティティの重大アクション
• ［Take this action（このアクションを実行）］：Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します

修復戦略

この修復の中心的な目的は、攻撃者のアクティビティを即座に停止し、侵害されたアカウントを完全に保護することです。

1. 即時アクション：ポリシー構成に基づいて、Universal Logoutがセッションを終了します。

2. 脅威をブロック：ブロックされるネットワークゾーンに悪意のあるIPアドレスを追加します。または、ThreatInsightをブロックモードで有効にして、IPアドレスからそれ以上の試行を防止します。

3. 調査：これは重大なアラートです。直ちにSystem Logで特定のアクションを確認します。

   • MFA登録の場合は、ユーザーのAuthenticatorを確認します。新しいものが正常に追加された場合は、すぐにリセットします。

   • パスワード変更の場合は、System Logで、変更直後のセッション中のユーザーアクティビティを確認します。パスワードリセットが成功した場合は、すぐにリセットします。

   • Admin Dashboardへのアクセスの場合は、Admin Consoleで悪意のあるアクティビティがないか確認します。

4. アカウントを保護する：

   • パスワードリセットを強制します。

   • すべてのセッションを消去し、ユーザーのMFA要素をすべてリセットします。

   • 管理者アクセスが関係していた場合は、その時点からのすべての管理者アクティビティについて、広範な監査を開始します。