Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents d’échecs de connexion des utilisateurs sur Okta.

Le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP fournit des instructions sur l’analyse de l’alerte lorsque des défaillances de compte ServiceNow sont observées sur Okta à partir de plusieurs adresses IP non-ServiceNow. L’alerte associée à ce playbook vérifie les journaux Okta. Il déclenche une alerte en cas d’échec de connexion pour les ID d’utilisateurs ServiceNow de plus de trois plages IP non-ServiceNow sur une durée d’une heure.

Prise en main du playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP

1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
2. Accédez à la Tous > Concepteur de flux et sélectionnez le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP .
3. (Facultatif) Vous pouvez créer une copie du flux du playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP et apporter les modifications nécessaires. Pour créer une copie du flux du playbook, cliquez sur l’icône et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.

   

4. Activez les playbooks.
   • Activez le flux principal pour utiliser le playbook disponible dans le système de base.
   • Activez les flux copiés après avoir apporté les modifications requises.

Condition de déclenchement : ce playbook est déclenché et associé à l’incident de sécurité lorsque la catégorie est Échec de la connexion.