ブルートフォース攻撃の疑い
この検出は、Oktaが総当たり攻撃と一致する、パスワードやMFAベースのサインイン試行の失敗を確認したことを示します。
検出リスクレベル:中
総当たり攻撃のパターンは、攻撃者がユーザーのパスワードまたは有効なMFAコードを推測しようとしていることを示します。この検出に修正を行うと、アカウントが乗っ取られる可能性が低くなります。
ポリシーの構成
- [Detection(検出)]:疑われる総当たり攻撃
- [Take this action(このアクションを実行)]:Workflowを実行して、調査のためにSOCチームに中優先度のアラートを送信します
修復戦略
-
調査:SOCチームは、System Logで失敗したサインイン試行を確認する必要があります。ソースIPとターゲットアカウントを特定します。
-
脅威をブロック:ThreatInsightをブロックモードで有効にします。攻撃ソースのIPをブロックされるネットワークゾーンに追加します。
-
ユーザーに連絡:攻撃を受けていることを(失敗した場合でも)積極的にユーザーに通知します。一意の強力なパスワードを設定するよう勧めます。必要に応じてその他の要素をリセットします。