Verwenden Sie das Playbook „Okta-Anwenderanmeldungsfehler bei mehreren IPs“.

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Security Incidents für Anwenderanmeldungsfehler bei Okta zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Okta-Anwenderanmeldung – Fehler bei der Anmeldung mit mehreren IPs“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, führen Sie in Aktion 1 die folgenden Aufgaben aus:
      • Identifizieren Sie den Anwenderaccount, der als Ziel ausgewählt ist.
      • Verifizieren Sie das IP-Subnetz, und prüfen Sie, ob sie alle demselben Besitzer der autonomen Systemnummer (ASN) gehören.
    2. Überprüfen Sie in Aktion 2, ob vor oder nach der Aktivität erfolgreiche Anmeldungen von den verschiedenen IPs/ASNs erfolgt sind.
    3. Wenn in Aktion 3 vor oder nach der Aktivität keine erfolgreichen Anmeldungen von den verschiedenen IPs/ASNs stattgefunden haben, überprüfen Sie in Aktion 4, ob die Geräte, auf denen die Authentifizierung durchgeführt wird, bekannte Benutzeragenten sind.
      Wenn die Geräte von bekannten Benutzeragenten authentifiziert werden, wird der Flow beendet.
      Abbildung : 1. Okta-Anwenderanmeldung schlägt bei Playbook mit mehreren IPs fehl
      Antwortaufgaben, wenn vor oder nach der Aktivität keine erfolgreichen Anmeldungen von den verschiedenen IPs/ASNs erfolgt sind.
    4. Wenden Sie sich in Aktion 5 basierend auf der Untersuchung über Out-of-Band-Kommunikation (z. B. Telefonanruf oder E-Mail) an den Anwender, um zu überprüfen, ob die Aktivität auf eine Kontosperrung oder ein vom Anwender falsch angegebenes Passwort zurückzuführen ist.
    5. Überprüfen Sie in Aktion 6, ob der Anwender eine gültige geschäftliche Begründung angegeben hat.
    6. Wenn der Anwender in Aktion 7 eine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Aufgaben aus.
      1. Erstellen Sie in Aktion 8 eine Antwortaufgabe, um die bisherigen Ergebnisse zu dokumentieren.
      2. Erstellen Sie in Aktion 9 eine Antwort, um eine Überprüfung nach Incident zu initiieren.
        In Aktion 10 endet der Flow.
    7. Überprüfen Sie in Aktion 11 die IP-Adresse und den Anwenderagenten des Clients, von dem die Authentifizierungsanforderung stammt, und versuchen Sie herauszufinden, ob sie Teil einer Brute-Force-Aktivität ist, indem Sie die IP-Adresse ändern.
    8. In Aktion 12 informieren Sie den betroffenen Anwender darüber, dass der Account zu Untersuchungszwecken gesperrt wird.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Anwender zu informieren.
      Abbildung : 2. Bei Verwendung des Playbooks mit mehreren IPs schlägt die Anmeldung bei Okta-Anwendern fehl
      Antwortaufgaben, wenn vor oder nach der Aktivität erfolgreiche Anmeldungen von den verschiedenen IPs/ASNs vorlagen.
    9. Arbeiten Sie in Aktion 13 mit dem IT-Supportteam zusammen, um den Account zu sperren und mit der Untersuchung des Umfangs der Gefährdung zu beginnen.
    10. Setzen Sie in Aktion 14 das Anwenderpasswort zurück, und senden Sie eine E-Mail mit dem Standardpasswort an den Anwender.
    11. Blockieren Sie in Aktion 15 die schädlichen Quell-IPs.
    12. Holen Sie in Aktion 16 Hilfe vom IT-Supportteam, um den Account freizugeben und die Betriebsstandards wiederherzustellen.
    13. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    14. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.