Usar o playbook Falhas de login de usuário do Okta de vários IPs

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes de segurança relacionados a falhas de login de usuário no Okta. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook Falhas de login de usuário do Okta de vários IPs.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, execute as seguintes tarefas:
      • Identifique a conta de usuário que está sendo direcionada.
      • Verifique a sub-rede IP e verifique se todas pertencem ao mesmo proprietário de Número de sistema autônomo (ASN).
    2. Na Ação 2, verifique se houve logins bem-sucedidos antes ou depois da atividade de diferentes IPs/ASNs.
    3. Na Ação 3, se não houve logins bem-sucedidos antes ou depois da atividade de diferentes IPs/ASNs, na Ação 4, verifique se os dispositivos nos quais a autenticação está sendo realizada são agentes de usuário conhecidos.
      Se os dispositivos forem autenticados por agentes de usuário conhecidos, o fluxo será encerrado.
      Figura 1. Playbook de falhas de login de usuário do Okta de vários IPs
      Tarefas de resposta se não houver logins bem-sucedidos antes ou depois da atividade de diferentes IPs/ASNs.
    4. Na Ação 5, com base na investigação, entre em contato com o usuário por meio de comunicação fora de banda (por exemplo, chamada telefônica ou e-mail) para verificar se a atividade se deve ao bloqueio de conta ou a uma senha incorreta fornecida pelo usuário.
    5. Na Ação 6, verifique se o usuário forneceu uma justificativa de negócio válida.
    6. Na Ação 7, se o usuário forneceu uma justificativa de negócio válida, execute as tarefas a seguir.
      1. Na Ação 8, crie uma tarefa de resposta para documentar as descobertas até o momento.
      2. Na Ação 9, crie uma resposta para iniciar uma análise pós-incidente.
        Na Ação 10, o fluxo termina.
    7. Na Ação 11, verifique o endereço IP e o agente do usuário cliente de onde a solicitação de autenticação é feita e tente identificar se ela faz parte de uma atividade de força bruta girando no endereço IP.
    8. Na Ação 12, informe ao usuário afetado que a conta será bloqueada para fins de investigação.
      Você pode usar o modelo de e-mail fornecido para informar o usuário afetado.
      Figura 2. Usando o playbook Falhas de login de usuário do Okta de vários IPs
      Tarefas de resposta se houver logins bem-sucedidos antes ou depois da atividade de diferentes IPs/ASNs.
    9. Na Ação 13, trabalhe com a equipe de suporte de TI para bloquear a conta e começar a investigar o escopo do comprometimento.
    10. Na Ação 14, redefina a senha do usuário e envie um e-mail para o usuário com a senha padrão.
    11. Na Ação 15, bloqueie os IPs de origem mal-intencionados.
    12. Na Ação 16, obtenha ajuda da equipe de suporte de TI para liberar a conta e trazê-la de volta aos padrões operacionais.
    13. Na Ação 17, documente as descobertas até o momento.
    14. Na Ação 18, conclua a revisão pós-incidente antes de fechar a tarefa.