FastPassによってフラグ付けされたIPからの不審なログイン
この検出は、Okta FastPassが以前にフィッシング試行でフラグ付けしたIPアドレスからサインインイベントが成功したときに記録されます。
この検出はOkta for Government HighとOkta for US Militaryでは利用できません。
検出リスクレベル:高
このアカウント乗っ取り(ATO)検出では、Oktaのカスタマーベース全体でOkta FastPassによって特定されたフィッシング試行が使用されます。
MITRE戦術
MITRE手法
ポリシーの構成
エンティティリスクポリシーで、次の条件を設定します。
- 検出(Detection):FastPassによってフラグ付けされたIPからの不審なログイン
- このアクションを実行(Take this action):Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します
修復戦略
-
即時アクション:ポリシー構成に基づいて、Universal Logoutでセッションを終了します。
-
脅威をブロック:ブロックされるネットワークゾーンに悪意のあるIPアドレスを追加し、そのIPアドレスからのさらなるログイン試行を防止します。
-
調査:フラグ付けされたセッションに関連するSystem Logイベントで悪意のあるアクティビティを確認します。System Logで次のクエリを実行します:
eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Suspicious Login From An IP Flagged By FastPass" -
アカウントを保護する:
-
帯域外の方法(通話、Slack/Teams)を使ってユーザーに連絡し、ユーザーがアクティビティの発信元ではないことを確認します。
-
ユーザーに必須のパスワードリセットを開始します。
-
ユーザーに登録済みのMFA要素をすべてレビューして、攻撃者が自身のデバイスを登録していないことを確認します。
-
-
より広範囲のアクション:この信号はアクティブなフィッシングキャンペーンをポイントします。調査チームは、そのIPアドレスから標的となった可能性のある他のユーザーも確認する必要があります。