Verwenden Sie das Playbook „Okta-Benutzeranmeldungsfehler aus mehreren IPs“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Security Incidents für Benutzeranmeldungsfehler bei Okta zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Okta-Benutzeranmeldungsfehler bei mehreren IPs“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, führen Sie in Aktion 1 die folgenden Aufgaben aus:
      • Identifizieren Sie das Zielbenutzerkonto.
      • Überprüfen Sie das IP-Subnetz, und prüfen Sie, ob alle zum selben Besitzer der autonomen Systemnummer (ASN) gehören.
    2. Überprüfen Sie in Aktion 2, ob vor oder nach der Aktivität erfolgreiche Anmeldungen von den verschiedenen IPs/ASNs aufgetreten sind.
    3. Wenn in Aktion 3 vor oder nach der Aktivität keine erfolgreichen Anmeldungen von den verschiedenen IPs/ASNs erfolgt sind, überprüfen Sie in Aktion 4, ob die Geräte, auf denen die Authentifizierung durchgeführt wird, bekannte Benutzer-Agents sind.
      Wenn die Geräte von bekannten Benutzeragenten authentifiziert werden, endet der Flow.
      Abbildung : 1. Okta-Anwenderanmeldungsfehler aus Playbook mit mehreren IPs
      Antwortaufgaben, wenn es vor oder nach der Aktivität keine erfolgreichen Anmeldungen von den verschiedenen IPs/ASNs gab.
    4. Wenden Sie sich in Aktion 5 basierend auf der Untersuchung an den Benutzer durch Out-of-Band-Kommunikation (z. B. Telefonanruf oder E-Mail), um zu überprüfen, ob die Aktivität auf eine Kontosperrung oder ein falsches Passwort des Benutzers zurückzuführen ist.
    5. Überprüfen Sie in Aktion 6, ob der Benutzer eine gültige geschäftliche Begründung angegeben hat.
    6. Wenn der Benutzer in Aktion 7 eine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Aufgaben aus.
      1. Erstellen Sie in Aktion 8 eine Antwortaufgabe, um die bisherigen Ergebnisse zu dokumentieren.
      2. Erstellen Sie in Aktion 9 eine Antwort, um eine Überprüfung nach Incidents zu initiieren.
        In Aktion 10 endet der Flow.
    7. Überprüfen Sie in Aktion 11 die IP-Adresse und den Client-Benutzer-Agent, von dem die Authentifizierungsanforderung gestellt wird, und versuchen Sie festzustellen, ob sie Teil einer Brute-Force-Aktivität ist, indem Sie die IP-Adresse verwenden.
    8. Informieren Sie den betroffenen Anwender in Aktion 12 darüber, dass der Account zu Untersuchungszwecken gesperrt wird.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Benutzer zu informieren.
      Abbildung : 2. Verwenden des Playbooks „Okta-Benutzeranmeldungsfehler aus mehreren IPs“.
      Antwortaufgaben, wenn vor oder nach der Aktivität erfolgreiche Anmeldungen von den verschiedenen IPs/ASNs erfolgt sind.
    9. Arbeiten Sie in Aktion 13 mit dem IT-Supportteam zusammen, um das Konto zu sperren und mit der Untersuchung des Umfangs der Gefährdung zu beginnen.
    10. Setzen Sie in Aktion 14 das Benutzerpasswort zurück, und senden Sie eine E-Mail mit dem Standardpasswort an den Benutzer.
    11. Blockieren Sie in Aktion 15 die schädlichen Quell-IPs.
    12. In Aktion 16 erhalten Sie Hilfe vom IT-Supportteam, um den Account freizugeben und ihn wieder auf Betriebsniveau zu bringen.
    13. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    14. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.