これは自分ではない(This wasn't me)

この検出は、ユーザーがセキュリティイベントを不正として積極的に報告した場合にトリガーされます。これは通常、ユーザーがOktaで生成されたセキュリティ通知(新規サインインメールなど)を受信し、レポート(Report)またはこれは自分ではない(This wasn't me)をクリックした場合に発生します。また、End-User Dashboardの最近のアクティビティ(Recent Activity)ページからトリガーすることもできます。

検出リスクレベル:高

これは、ユーザーのアカウントがアクティブな攻撃を受けていることを示す、信頼度が高度の信号です。

MITRE戦術

初期アクセス / 後続の振る舞い

MITRE手法

有効なアカウント

ポリシーの構成

エンティティリスクポリシーで、次の条件を設定します。

  • 検出(Detection):これは自分ではない
  • エンティティリスクレベル(Entity risk level):高
  • このアクションを実行(Take this action):Universal Logout

修復戦略

  1. 即時アクション:ポリシー構成に基づいて、Universal Logoutでセッションを終了します。

  2. 脅威をブロック:ブロックされるネットワークゾーンに不正イベントのIPアドレスを追加します。

  3. 調査:管理者にアラートを送信します。System Logを確認して、ユーザーが報告したイベントを見つけます。System Logで次のクエリを実行します:eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=This Wasn't Me"

    IP、ロケーション、デバイス、試行されたアクションを分析します(例:User login to Okta)。

  4. ユーザーに連絡:イベントを報告したユーザーに積極的に連絡します。報告を認めて、保護のためにアカウントがロックされていることを確認します。

  5. アカウントを保護する:

    • ユーザーを安全なパスワードリセット手順に案内します。

    • MFAレビューを実行して、未認可の要素がないか確認します。

    • アカウントが安全と確認された場合のみ、アカウントをロック解除します。