Utiliser le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de sécurité liés aux échecs de connexion des utilisateurs sur Okta. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, effectuez les tâches suivantes :
      • Identifiez le compte d’utilisateur ciblé.
      • Vérifiez le sous-réseau IP et vérifiez s’ils appartiennent tous au même propriétaire de numéro de système autonome (ASN).
    2. Dans l’action 2, vérifiez s’il y a eu des connexions réussies avant ou après l’activité des différentes adresses IP/ASN.
    3. Dans l’Action 3, s’il n’y a pas eu de connexion réussie avant ou après l’activité des différentes adresses IP/ASN, dans l’Action 4, vérifiez si les appareils sur lesquels l’authentification est effectuée sont des agents utilisateurs connus.
      Si les appareils sont authentifiés par des agents utilisateur connus, le flux se termine.
      Figure 1. Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP Playbook
      Tâches de réponse en l’absence de connexion réussie avant ou après l’activité des différentes adresses IP/ASN.
    4. Dans l’action 5, sur la base de l’enquête, contactez l’utilisateur par le biais d’une communication hors bande (par exemple, un appel téléphonique ou un e-mail) pour vérifier si l’activité est due au verrouillage du compte ou à un mot de passe incorrect fourni par l’utilisateur.
    5. Dans l’Action 6, vérifiez si l’utilisateur a fourni un motif commercial valide.
    6. Dans l’action 7, si l’utilisateur a fourni une justification commerciale valide, effectuez les tâches suivantes.
      1. Dans l’Action 8, créez une tâche de réponse pour documenter les résultats obtenus jusqu’à présent.
      2. Dans l’Action 9, créez une réponse pour lancer une révision post-incident.
        Dans l’action 10, le flux se termine.
    7. Dans l’Action 11, vérifiez l’adresse IP et l’agent utilisateur client à partir desquels la demande d’authentification est effectuée et tentez d’identifier si elle fait partie d’une activité de force brute en pivotant sur l’adresse IP.
    8. Dans l’action 12, informez l’utilisateur affecté que son compte sera verrouillé à des fins d’enquête.
      Vous pouvez utiliser le modèle d’e-mail fourni pour informer l’utilisateur affecté.
      Figure 2. Utilisation du playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP
      Tâches de réponse en cas de connexions réussies avant ou après l’activité des différentes adresses IP/ASN.
    9. Dans l’Action 13, collaborez avec l’équipe d’assistance informatique pour verrouiller le compte et commencer à enquêter sur l’étendue de la compromission.
    10. Dans l’Action 14, réinitialisez le mot de passe utilisateur et envoyez un e-mail à l’utilisateur avec le mot de passe par défaut.
    11. Dans l’action 15, bloquez les adresses IP sources malveillantes.
    12. Dans l’Action 16, demandez l’aide de l’équipe d’assistance informatique pour libérer le compte et le remettre aux normes opérationnelles.
    13. Dans Action 17, documentez les résultats obtenus jusqu’à présent.
    14. Dans l’Action 18, terminez la revue post-incident avant de fermer la tâche.