여러 IP의 Okta 사용자 로그인 실패 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 Playbook을 사용하여 Okta의 사용자 로그인 실패에 대한 보안 인시던트를 조사할 수 있습니다. 다음 단계에서는 여러 IP 플레이북의 Okta 사용자 로그인 실패 플레이북에서 사용할 수 있는 동작, 작업 및 하위 플로우에 대한 워크스루를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 다음 작업을 수행합니다.
      • 대상이 되는 사용자 계정을 식별합니다.
      • IP 서브넷을 확인하고 모두 동일한 ASN(Autonomous System Number) 소유자에 속하는지 확인합니다.
    2. 작업 2에서 다른 IP/ASN의 활동 전후에 성공적인 로그인이 있었는지 확인합니다.
    3. 작업 3에서 서로 다른 IP/ASN의 활동 전후에 성공적인 로그인이 없는 경우 작업 4에서 인증이 수행되는 디바이스가 알려진 사용자 에이전트인지 확인합니다.
      장치가 알려진 사용자 에이전트에 의해 인증되면 플로우가 종료됩니다.
      그림 1. 여러 IP Playbook의 Okta 사용자 로그인 실패
      다른 IP/ASN에서 활동 전후에 로그인에 성공하지 못한 경우의 응답 작업입니다.
    4. 작업 5에서는 조사에 따라 대역 외 통신(예: 전화 통화 또는 전자 메일)을 통해 사용자에게 연락하여 활동이 계정 잠금 때문인지 또는 사용자가 제공한 잘못된 암호로 인한 것인지 확인합니다.
    5. 작업 6에서 사용자가 유효한 비즈니스 정당성을 제공했는지 확인합니다.
    6. 작업 7에서 사용자가 유효한 비즈니스 정당성을 제공한 경우 다음 작업을 수행합니다.
      1. 작업 8에서 지금까지의 결과를 문서화하는 응답 작업을 생성합니다.
      2. 작업 9에서 사후 인시던트 검토를 시작하는 응답을 생성합니다.
        작업 10에서 플로우가 종료됩니다.
    7. 작업 11에서 인증 요청이 수행된 IP 주소 및 클라이언트 사용자 에이전트를 확인하고 IP 주소를 피벗하여 무차별 암호 대입 활동의 일부인지 확인합니다.
    8. 작업 12에서 영향을 받는 사용자에게 조사 목적으로 계정이 잠길 것임을 알립니다.
      제공된 이메일 템플릿을 사용하여 영향을 받는 사용자에게 알릴 수 있습니다.
      그림 2. 여러 IP 플레이북의 Okta 사용자 로그인 실패 사용
      다른 IP/ASN의 활동 전후에 성공적인 로그인이 있는 경우 응답 작업입니다.
    9. 작업 13에서 IT 지원 팀과 협력하여 계정을 잠그고 손상 범위 조사를 시작합니다.
    10. 작업 14에서 사용자 암호를 재설정하고 기본 암호를 사용하여 사용자에게 전자 메일을 보냅니다.
    11. 작업 15에서 악성 원본 IP를 차단합니다.
    12. 작업 16에서 IT 지원 팀의 도움을 받아 계정을 해제하고 운영 표준으로 되돌립니다.
    13. 작업 17에서 지금까지의 결과를 문서화합니다.
    14. 작업 18에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.