セッションの影響を受けるユーザーリスク

この検出は、ユーザーのセッションリスクレベルが高に変更した場合に記録されます。

検出リスクレベル:中

ユーザーのアクティブなセッションが、セッションハイジャック、トークンの窃盗、またはトークン再生に一致するパターンを示す場合、ITPはセッションリスクを高に引き上げます。その結果、ITPはエンティティ(ユーザー)リスクを中程度に引き上げます。セッション保護と利用可能な構成オプションの詳細は、「セッション保護」を参照してください。

MITRE戦術

防御回避

MITRE手法

代替認証情報の使用:Webセッションクッキー

ポリシーの構成

  • 検出(Detection):ユーザーリスクに影響を与えるセッション
  • このアクションを実行(Take this action):Workflowを実行して管理者に通知します

修復戦略

悪意のあるアクティビティがないか、高リスクとしてフラグ付けされたセッションを調査します。System Logで次のクエリを実行します:eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Session Influenced User Risk"

関連するuser.risk.detectイベントに自動入力されたexternalSessionIdを使用して、セッションのアクティビティを確認できます。