Okta User Login Fails from Multiple IPs Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次のステップは、複数のIPからのOktaユーザーログイン失敗プレイブックで利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で次のタスクを実行する必要があります。
      • 対象となるユーザー アカウントを特定します。
      • IP サブネットを確認し、すべてが同じ自律システム番号(ASN)所有者に属しているかどうかを確認します。
    2. ステップ2では、異なるIP/ASNからのアクティビティの前後に成功したログインがあったかどうかを確認する必要があります。
    3. ステップ 3 で、異なる IP/ASN からのアクティビティの前後にログインが成功しなかった場合、ステップ 4 で、認証が実行されているデバイスが既知のユーザ エージェントであるかどうかを確認する必要があります。
      デバイスが既知のユーザ エージェントによって認証されると、フローは終了します。
      図 : 1. 複数の IP からの Okta ユーザーログイン失敗 Playbook
      異なる IP/ASN からのアクティビティの前後に正常なログインがなかった場合の応答タスク。
    4. 手順 5 では、調査に基づいて、帯域外通信 (電話や電子メールなど) を使用してユーザーに連絡し、アクティビティがアカウントのロックアウトによるものか、ユーザーが提供したパスワードの誤りによるものかを確認する必要があります。
    5. 手順 6 では、ユーザーが有効な業務上の正当な理由を提供したかどうかを確認する必要があります。
    6. ステップ 7 で、ユーザーが有効な業務上の根拠を提供した場合は、次のタスクを実行します。
      1. ステップ 8 で、これまでの結果を文書化するための応答タスクを作成します。
      2. ステップ 9 では、インシデントの事後レビューを開始するための応答を作成する必要があります。
        ステップ 10 で、フローは終了します。
    7. ステップ 11 では、認証要求が行われた IP アドレスとクライアント ユーザ エージェントを確認し、IP アドレスをピボットしてブルートフォース アクティビティの一部であるかどうかを識別する必要があります。
    8. 手順 12 では、影響を受けるユーザーに、調査目的でアカウントがロックされることを通知する必要があります。
      提供されたメールテンプレートを使用して、影響を受けるユーザーに通知できます。
      図 : 2. Okta User Login Failure from Multiple IP Playbook の使用
      異なる IP/ASN からのアクティビティの前後に成功したログインがあった場合の応答タスク。
    9. ステップ 13 では、IT サポートチームと協力してアカウントをロックアウトし、侵害の範囲の調査を開始する必要があります。
    10. ステップ 14 では、ユーザ パスワードをリセットし、デフォルトのパスワードを使用してユーザにメールを送信する必要があります。
    11. ステップ15では、悪意のあるソースIPをブロックする必要があります。
    12. ステップ 16 では、IT サポートチームからアカウントを解放し、運用標準に戻すための支援を受ける必要があります。
    13. ステップ 17 では、これまでの結果を文書化する必要があります。
    14. ステップ 18 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。