漏洩した資格情報の検知

この検出は、Okta orgへのサインインに使用されるユーザー名とパスワードの組み合わせが、公開されているデータ侵害のサードパーティリストに含まれていることを示します。「侵害された資格情報の保護」を参照してください。

注:

この検出はOkta for Government HighとOkta for US Militaryでは利用できません。

検出リスクレベル：高

Oktaでは、org内のユーザー名とパスワードの組み合わせに対して公開されているデータ侵害のサードパーティリストを継続的に監視し、漏洩した資格情報を使ってサインインしたユーザーにフラグ付けします。

MITRE戦術

資格情報アクセス

MITRE手法

被害者のID情報の収集：資格情報

ポリシーの構成

エンティティリスクポリシーで、次の条件を設定します。

検出（Detection）：漏洩した資格情報の検出
このアクションを実行（Take this action）：Universal Logoutを実行するか、Workflowを実行して管理者に通知し、ユーザーリスクレベルを引き下げます。Workflowは、修復アクションがすでにパスワードポリシーで構成されている場合にのみ推奨されます。

注:

orgが漏洩した資格情報の保護機能を使用している場合は、パスワードポリシーで構成したアクションも実行されます。

修復戦略

System Logで次のクエリを実行します：eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Breached Credentials Detected"

自動アクション：これはユーザー主導の修復です。ユーザーがサインインしていない（つまり、パスワードをリセットしていない）場合、資格情報は公開されたままになります。サインインフロー時に漏洩した資格情報が検出された場合、パスワードの失効を直ちに強制するように、漏洩した資格情報の保護を構成します。パスワード有効期限フローの一部としてMFAを強制適用する場合、Identity Engineのお客様は、Okta Account Managementポリシーを構成できます。