スプレー攻撃されたパスワードを使用した疑わしいログイン

この検出は、パスワードスプレーキャンペーンで特定されたパスワードを使用して、ユーザーがOktaに正常にサインインしたことを示します。

検出リスクレベル:中

この検出は、攻撃者がスプレー攻撃されたパスワードを入力してサインインたか、有効なユーザーがパスワードスプレーキャンペーンで特定されたパスワードでサインインしたことを意味します。

MITRE戦術

資格情報アクセス

MITRE手法

総当たり攻撃:パスワードスプレー

ポリシーの構成

エンティティリスクポリシーで、次の条件を設定します。

  • 検出(Detection):スプレー攻撃されたパスワードを使用した疑わしいログイン
  • このアクションを実行(Take this action):Universal Logoutを実行し、ワークフローを実行してユーザーのパスワードを期限切れにします。

システムログクエリ

eventType eq "user.risk.detect" and debugContext.debugData.risk co
          "detectionName=Suspicious Login Using A Sprayed Password"
修復戦略
  • エンティティリスクポリシーからの自動化されたアクション:ユーザーのパスワードは直ちに期限切れになり、次回のサインイン時に新しいパスワードを設定する必要があります。ユーザーがサインインしていない(つまり、パスワードをリセットしていない)場合、パスワードは公開されたままになります。
  • 追加アクション:Okta Account Managementポリシーのパスワード有効期限ルールを構成して、パスワードのリセット中にMFAを強制適用します。