スプレー攻撃されたパスワードを使用した疑わしいログイン
この検出は、パスワードスプレーキャンペーンで特定されたパスワードを使用して、ユーザーがOktaに正常にサインインしたことを示します。
検出リスクレベル:中
この検出は、攻撃者がスプレー攻撃されたパスワードを入力してサインインたか、有効なユーザーがパスワードスプレーキャンペーンで特定されたパスワードでサインインしたことを意味します。
MITRE戦術
MITRE手法
ポリシーの構成
エンティティリスクポリシーで、次の条件を設定します。
- 検出(Detection):スプレー攻撃されたパスワードを使用した疑わしいログイン
- このアクションを実行(Take this action):Universal Logoutを実行し、ワークフローを実行してユーザーのパスワードを期限切れにします。
システムログクエリ
eventType eq "user.risk.detect" and debugContext.debugData.risk co
"detectionName=Suspicious Login Using A Sprayed Password"
修復戦略
- エンティティリスクポリシーからの自動化されたアクション:ユーザーのパスワードは直ちに期限切れになり、次回のサインイン時に新しいパスワードを設定する必要があります。ユーザーがサインインしていない(つまり、パスワードをリセットしていない)場合、パスワードは公開されたままになります。
- 追加アクション:Okta Account Managementポリシーのパスワード有効期限ルールを構成して、パスワードのリセット中にMFAを強制適用します。