不審なアプリアクセス
この検出は、ITPがアプリ(サービスプロバイダー)のセッションクッキーを収集しようとする攻撃者の試みを検出したときに記録されます。
検出リスクレベル:中
これは、セッションハイジャック攻撃を示します。一般的な例としては、不正者がユーザーのOktaセッションクッキーを盗み、それを使用して複数のアプリに迅速にアクセスする場合が挙げられます。リスクレベルが中であるにもかかわらず、優先度の高い調査です。アクティブで認証済みのセッションを意味します。
ポリシーの構成
- [Detection(検出)]:不審なアプリアクセス
- [Take this action(このアクションを実行)]:Workflowを実行して、SOCチームに調査を開始するように通知します
修復戦略
-
調査:System Logでアプリアクセスイベントを確認します。IPアドレスまたはユーザーエージェントが、ユーザーのその他の正当なセッションと一致するかどうかを確認します。
-
アカウントを保護する:
-
Admin Consoleでユーザーのプロファイルに移動します。
-
[Clear User Sessions(ユーザーセッションを消去)]をクリックし、盗まれたクッキーを無効にし、攻撃者をログアウトします。
-
ユーザーに連絡して、セッションが侵害されたかどうか(デバイスのマルウェア、フィッシング攻撃など)を判断します。
-
ユーザーのデバイスでマルウェアがあるかスキャンします。
-