Use o playbook Falhas de login do usuário do Okta de vários IPs

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes de segurança para falhas de login do usuário no Okta. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no Playbook Falhas de login do usuário do Okta de vários IPs.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, execute as seguintes tarefas:
      • Identifique a conta de usuário que está sendo direcionada.
      • Verifique a sub-rede IP e verifique se todas pertencem ao mesmo responsável pelo ASN (Autonomous System Number, número de sistema autônomo).
    2. Na Ação 2, verifique se houve logins bem-sucedidos antes ou depois da atividade dos diferentes IPs/ASNs.
    3. Na Ação 3, se não houve logins bem-sucedidos antes ou depois da atividade dos diferentes IPs/ASNs, na Ação 4, verifique se os dispositivos nos quais a autenticação está sendo realizada são agentes de usuário conhecidos.
      Se os dispositivos forem autenticados por agentes de usuário conhecidos, o fluxo será encerrado.
      Figura 1. Falhas de login do usuário do Okta no playbook de vários IPs
      Tarefas de resposta se não houver logins bem-sucedidos antes ou depois da atividade dos diferentes IPs/ASNs.
    4. Na Ação 5, com base na investigação, entre em contato com o usuário por meio de comunicação fora de banda (por exemplo, chamada telefônica ou e-mail) para verificar se a atividade se deve ao bloqueio de conta ou a uma senha incorreta fornecida pelo usuário.
    5. Na Ação 6, verifique se o usuário forneceu uma justificativa comercial válida.
    6. Na Ação 7, se o usuário forneceu uma justificativa comercial válida, execute as tarefas a seguir.
      1. Em Ação 8, crie uma tarefa de resposta para documentar as descobertas até o momento.
      2. Em Ação 9, crie uma resposta para iniciar uma revisão pós-incidente.
        Na Ação 10, o fluxo termina.
    7. Na Ação 11, verifique o endereço IP e o agente do usuário cliente de onde a solicitação de autenticação é feita e tente identificar se ele faz parte de uma atividade de força bruta girando o endereço IP.
    8. Na Ação 12, informe ao usuário afetado que a conta será bloqueada para fins de investigação.
      Você pode usar o modelo de e-mail fornecido para informar o usuário afetado.
      Figura 2. Uso do playbook Falhas de login do usuário do Okta de vários IPs
      Tarefas de resposta se houver logins bem-sucedidos antes ou depois da atividade de diferentes IPs/ASNs.
    9. Na Ação 13, trabalhe com a equipe de suporte de TI para bloquear a conta e começar a investigar o escopo do comprometimento.
    10. Em Ação 14, redefina a senha do usuário e envie um e-mail para o usuário com a senha padrão.
    11. Na Ação 15, bloqueie os IPs de origem mal-intencionada.
    12. Na Ação 16, obtenha ajuda da Equipe de suporte DE TI para liberar a conta e trazê-la de volta aos padrões operacionais.
    13. Na Ação 17, documente as descobertas até agora.
    14. Em Ação 18, conclua a revisão pós-incidente antes de fechar a tarefa.