Utiliser le playbook Échecs de connexion d’utilisateur Okta à partir de plusieurs adresses IP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de sécurité liés aux échecs de connexion utilisateur sur Okta. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, effectuez les tâches suivantes :
      • Identifiez le compte d’utilisateur ciblé.
      • Vérifiez le sous-réseau IP et vérifiez s’ils appartiennent tous au même propriétaire de numéro de système autonome (ASN).
    2. Dans l’action 2, vérifiez s’il y a eu des connexions réussies avant ou après l’activité à partir des différentes adresses IP/ASN.
    3. Dans l’action 3, s’il n’y a pas eu de connexions réussies avant ou après l’activité à partir des différentes adresses IP/ASN, dans l’action 4, vérifiez si les appareils dans lesquels l’authentification est effectuée sont des agents utilisateur connus.
      Si les appareils sont authentifiés par des agents utilisateur connus, le flux s’arrête.
    4. Dans l’action 5, sur la base de l’enquête, contactez l’utilisateur par le biais d’une communication hors bande (par exemple, appel téléphonique ou e-mail) pour vérifier si l’activité est due au verrouillage du compte ou à un mot de passe erroné fourni par l’utilisateur.
    5. Dans l’action 6, vérifiez si l’utilisateur a fourni une justification commerciale valable.
    6. Dans l’action 7, si l’utilisateur a fourni une justification commerciale valide, effectuez les tâches suivantes.
      1. Dans l’action 8, créez une tâche de réponse pour documenter les résultats obtenus jusqu’à présent.
      2. Dans l’action 9, créez une réponse pour lancer une revue post-incident.
        Dans l’action 10, le flux s’arrête.
    7. Dans l’action 11, vérifiez l’adresse IP et l’agent utilisateur client à partir duquel la demande d’authentification est effectuée et essayez d’identifier s’il fait partie d’une activité de force brute en pivotant sur l’adresse IP.
    8. Dans l’action 12, informez l’utilisateur concerné que le compte sera verrouillé à des fins d’enquête.
      Vous pouvez utiliser le modèle d’e-mail fourni pour informer l’utilisateur concerné.
    9. Dans l’action 13, travaillez avec l’équipe d’assistance informatique pour verrouiller le compte et commencer à enquêter sur l’étendue de la compromission.
    10. Dans l’action 14, réinitialisez le mot de passe utilisateur et envoyez un e-mail à l’utilisateur avec le mot de passe par défaut.
    11. Dans l’action 15, bloquez les adresses IP sources malveillantes.
    12. Dans l’action 16, demandez l’aide de l’équipe d’assistance informatique pour libérer le compte et le ramener aux normes opérationnelles.
    13. Dans l’action 17, documentez les résultats obtenus jusqu’à présent.
    14. Dans l’action 18, terminez la revue post-incident avant de fermer la tâche.