不審なアプリアクセス

この検出は、ITPがアプリ(サービスプロバイダー)のセッションクッキーを収集しようとする攻撃者の試みを検出したときに記録されます。

検出リスクレベル:中

これは、セッションハイジャック攻撃を示します。一般的な例としては、不正者がユーザーのOktaセッションクッキーを盗み、それを使用して短時間で複数のアプリに迅速にアクセスする場合が挙げられます。リスクレベルが中であるにもかかわらず、優先度の高い調査です。アクティブで認証済みのセッションを意味します。

MITRE戦術

収集 / 持ち出し

MITRE手法

Webセッションクッキーの窃取

ポリシーの構成

  • 検出(Detection):不審なアプリアクセス
  • このアクションを実行(Take this action):Workflowを実行して、SOCチームに調査を開始するように通知します

修復戦略

  1. 調査:System Logで次のクエリを実行します:eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Suspicious App Access"

    IPアドレスまたはユーザーエージェントが、ユーザーのその他の正当なセッションと一致するかどうかを確認します。

  2. アカウントを保護する:

    • Admin Consoleでユーザーのプロファイルに移動します。

    • ユーザーセッションを消去(Clear User Sessions)をクリックし、盗まれたクッキーを無効にし、攻撃者をログアウトします。

    • ユーザーに連絡して、セッションが侵害されたかどうか(デバイスのマルウェア、フィッシング攻撃など)を判断します。

    • ユーザーのデバイスでマルウェアがあるかスキャンします。