ブルートフォース攻撃の疑い

この検出は、Oktaが総当たり攻撃と一致する、パスワードやMFAベースのサインイン試行の失敗を確認したことを示します。

検出リスクレベル:中

総当たり攻撃のパターンは、攻撃者がユーザーのパスワードまたは有効なMFAコードを推測しようとしていることを示します。この検出に修正を行うと、アカウントが乗っ取られる可能性が低くなります。

MITRE戦術

資格情報アクセス

MITRE手法

パスワード推測

ポリシーの構成

  • 検出(Detection):疑われる総当たり攻撃
  • このアクションを実行(Take this action):Workflowを実行して、調査のためにSOCチームに中優先度のアラートを送信します

修復戦略

  1. 調査:SOCチームは、System Logで失敗したサインイン試行を確認する必要があります。System Logで次のクエリを実行します: eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Brute Force Attack" 送信元IPアドレスとターゲットアカウントを特定します。

  2. 脅威をブロック:ThreatInsightをブロックモードで有効にします。攻撃ソースのIPをブロックされるネットワークゾーンに追加します。

  3. ユーザーに連絡:攻撃を受けていることを(失敗した場合でも)積極的にユーザーに通知します。一意の強力なパスワードを設定するよう勧めます。必要に応じてその他の要素をリセットします。