複数の IP からの Okta ユーザーログイン失敗プレイブックを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • このプレイブックを使用して、Okta でのユーザーログイン失敗のセキュリティインシデントを調査します。以下に示すステップは、複数の IP からの Okta ユーザーログイン失敗プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で次のタスクを実行します。
      • ターゲットとされているユーザーアカウントを特定します。
      • IP サブネットを確認し、すべてが同じ自律システム番号 (ASN) の所有者に属しているかどうかを確認します。
    2. アクション 2 では、異なる IP/ASN からのアクティビティの前後に成功したログインがあったかどうかを確認します。
    3. アクション 3 では、異なる IP/ASN からのアクティビティの前後にログインが成功しなかった場合に、アクション 4 で、認証が実行されているデバイスが既知のユーザーエージェントであるかどうかを確認します。
      デバイスが既知のユーザーエージェントによって認証されると、フローは終了します。
      図 : 1. 複数の IP からの Okta ユーザーログイン失敗プレイブック
      異なる IP/ASN からのアクティビティの前後に成功したログインがなかった場合の応答タスク。
    4. アクション 5 では、調査に基づいて、帯域外通信 (電話や電子メールなど) を使用してユーザーに連絡し、アクティビティがアカウントのロックアウトによるものか、ユーザーが提供したパスワードの誤りによるものかを確認します。
    5. アクション 6 では、ユーザーが有効なビジネス上の根拠を提供したかどうかを確認します。
    6. アクション 7 では、ユーザーが有効なビジネス上の根拠を提供した場合に、次のタスクを実行します。
      1. アクション 8 では、これまでの結果を文書化するための応答タスクを作成します。
      2. アクション 9 では、インシデントの事後レビューを開始するための応答を作成します。
        アクション 10 で、フローは終了します。
    7. アクション 11 では、認証要求が行われた IP アドレスとクライアントユーザーエージェントを確認し、IP アドレスをピボットしてブルートフォースアクティビティの一部であるかどうかを識別します。
    8. アクション 12 では、影響を受けるユーザーに、調査目的でアカウントがロックされることを通知します。
      提供されたメールテンプレートを使用して、影響を受けるユーザーに通知できます。
      図 : 2. 複数の IP からの Okta ユーザーログイン失敗プレイブックの使用
      異なる IP/ASN からのアクティビティの前後に成功したログインがあった場合の応答タスク。
    9. アクション 13 では、IT サポートチームと協力してアカウントをロックし、侵害の範囲の調査を開始します。
    10. アクション 14 では、ユーザーパスワードをリセットし、デフォルトのパスワードを使用してユーザーにメールを送信します。
    11. アクション 15 では、悪意のあるソース IP をブロックします。
    12. アクション 16 では、アカウントを解放して運用標準に戻すための支援を IT サポートチームから受けます。
    13. アクション 17 では、これまでの結果を文書化します。
    14. アクション 18 では、タスクをクローズする前にインシデントの事後レビューを完了します。