Okta脅威インテリジェンス(Okta Threat Intelligence)
Okta Threat Intelligenceによる検出は、脅威アクターが使用したインフラストラクチャからのアクティビティをOktaが特定したときに記録されます。たとえば、サインイン試行が、Oktaが強く信頼するIPアドレスから行われ、フィッシング操作の一部である場合、アカウントにフラグが付けられます。
検出リスクレベル:高
Okta Threat Intelligenceがこれらのインタラクションを精選するため、これらの検出は高リスクと見なされます。インフラストラクチャをホスティングするIPは、ITPでのイベントに短時間タグが付けられます。
MITRE戦術
MITRE手法
ポリシーの構成
エンティティリスクポリシーで、次の条件を設定します。
- 検出(Detection):Okta Threat Intelligence
- エンティティリスクレベル(Entity risk level):高
- このアクションを実行(Take this action):Workflowを実行して、ユーザーが悪意のあるインフラストラクチャを介して認証したかどうかを判断します。
- イベントが見つかった場合は、Universal Logoutがユーザーのアクティブなセッションをすべて終了するアクションを追加します。
- イベントが見つからない場合は、Workflowを実行して、SOCチームに調査を開始するように通知します。
修復戦略
-
即時アクション:Workflowを実行します。ポリシー構成に基づいて、Universal Logoutでセッションを終了します。
-
脅威をブロック:ブロックされるネットワークゾーンに悪意のあるIPアドレスを追加し、そのソースからの今後の試行を防止します。
-
調査:System Logでイベントを確認します:
eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Okta Threat Intelligence"悪意のあるIP、ユーザーエージェント、攻撃者が実行を試みたアクションを書き留めます。関連するイベントには
user.mfa.factor.activate、user.mfa.factor.deactivate、user.mfa.factor.update、user.mfa.factor.suspend、user.mfa.factor.unsuspend、user.mfa.factor.reset_allが含まれます。また、ユーザーのメールボックスで不審なメールを調べたり、最近のネットワークトラフィックで侵害の兆候を確認したりできます。SMSからのフィッシングリクエストが疑われる場合は、ユーザーに直接連絡します。 -
アカウントを保護する:
-
帯域外の方法(通話、Slack/Teams)を使ってユーザーに連絡し、ユーザーがアクティビティの発信元ではないことを確認します。
-
ユーザーに必須のパスワードリセットを開始します。
-
ユーザーに登録済みのMFA要素をすべてレビューして、攻撃者が自身のデバイスを登録していないことを確認します。
-
一部の検出方法では、Oktaのサービスに正常に達するためにサインインリクエストが不要な場合があるため、System Logには対応するユーザーのサインインイベントがありません。これは、不適切な形式のリクエストがフィッシングサイトによってOktaにリダイレクトされた場合に発生する可能性があります。環境内のWebおよびメールの入力ログと出力ログで、これらの検出でタグ付けされたIPをレビューし、脅威アクターによるさらなる標的対象を特定します。