Utiliser le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de sécurité liés aux échecs de connexion des utilisateurs sur Okta. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, effectuez les tâches suivantes :
      • Identifiez le compte d’utilisateur ciblé.
      • Vérifiez le sous-réseau IP et vérifiez s’ils appartiennent tous au même propriétaire du numéro de système autonome (ASN).
    2. Dans l’action 2, vérifiez s’il y a eu des connexions réussies avant ou après l’activité à partir des différentes adresses IP/ASN.
    3. Dans l’action 3, s’il n’y a pas eu de connexions réussies avant ou après l’activité à partir des différentes adresses IP/ASN, dans l’action 4, vérifiez si les appareils dans lesquels l’authentification est effectuée sont des agents utilisateur connus.
      Si les appareils sont authentifiés par des agents utilisateur connus, le flux s’arrête.
      Figure 1. Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP Playbook
      Tâches de réponse en cas d’échec de connexion avant ou après l’activité à partir des différentes adresses IP/ASN.
    4. Dans l’action 5, en fonction de l’enquête, contactez l’utilisateur par le biais d’une communication hors bande (par exemple, appel téléphonique ou e-mail) pour vérifier si l’activité est due à un verrouillage du compte ou à un mot de passe incorrect fourni par l’utilisateur.
    5. Dans l’action 6, vérifiez si l’utilisateur a fourni une justification commerciale valable.
    6. Dans l’action 7, si l’utilisateur a fourni une justification commerciale valide, effectuez les tâches suivantes.
      1. Dans l’action 8, créez une tâche de réponse pour documenter les résultats obtenus jusqu’à présent.
      2. Dans l’action 9, créez une réponse pour lancer une revue post-incident.
        Dans l’action 10, le flux s’arrête.
    7. Dans l’action 11, vérifiez l’adresse IP et l’agent utilisateur client à partir duquel la demande d’authentification est effectuée et essayez d’identifier s’il fait partie d’une activité de force brute en pivotant sur l’adresse IP.
    8. Dans l’action 12, informez l’utilisateur affecté que le compte sera verrouillé à des fins d’enquête.
      Vous pouvez utiliser le modèle d’e-mail fourni pour informer l’utilisateur concerné.
      Figure 2. Utilisation du playbook Échecs de connexion de l’utilisateur Okta à partir de plusieurs adresses IP
      Tâches de réponse en cas de connexions réussies avant ou après l’activité à partir des différentes adresses IP/ASN.
    9. Dans l’action 13, travaillez avec l’équipe d’assistance informatique pour verrouiller le compte et commencer à enquêter sur l’étendue de la compromission.
    10. Dans l’action 14, réinitialisez le mot de passe utilisateur et envoyez un e-mail à l’utilisateur avec le mot de passe par défaut.
    11. Dans l’action 15, bloquez les adresses IP sources malveillantes.
    12. Dans l’action 16, demandez l’aide de l’équipe d’assistance informatique pour libérer le compte et le ramener aux normes opérationnelles.
    13. Dans l’action 17, documentez les résultats obtenus jusqu’à présent.
    14. Dans l’action 18, effectuez l’examen post-incident avant de fermer la tâche.