Verwenden Sie das Playbook „Fehler bei der Okta-Anwenderanmeldung aus mehreren IPs“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Security Incidents auf Fehler bei der Anwenderanmeldung in Okta zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Fehler bei der Okta-Anwenderanmeldung von mehreren IPs“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, führen Sie in Aktion 1 die folgenden Aufgaben aus:
      • Identifizieren Sie den Anwender-Account, der angestrebt wird.
      • Überprüfen Sie das IP-Subnetz, und überprüfen Sie, ob alle zum selben Besitzer der autonomen Systemnummer (ASN) gehören.
    2. Überprüfen Sie in Aktion 2, ob vor oder nach der Aktivität von den verschiedenen IPs/ASNs erfolgreiche Anmeldungen durchgeführt wurden.
    3. Wenn es in Aktion 3 keine erfolgreichen Anmeldungen vor oder nach der Aktivität von den verschiedenen IPs/ASNs gab, überprüfen Sie in Aktion 4, ob die Geräte, auf denen die Authentifizierung durchgeführt wird, bekannte Anwender-Agents sind.
      Wenn die Geräte von bekannten Anwenderagenten authentifiziert werden, endet der Flow.
      Abbildung : 1. Fehler bei der Okta-Anwenderanmeldung aus Playbook für mehrere IPs
      Antwortaufgaben, wenn es vor oder nach der Aktivität keine erfolgreichen Anmeldungen von den verschiedenen IPs/ASNs gab.
    4. Wenden Sie sich in Aktion 5 basierend auf der Untersuchung über Out-of-Band-Kommunikation (z. B. Telefonanruf oder E-Mail) an den Anwender, um zu überprüfen, ob die Aktivität auf eine Kontosperrung oder ein falsches Passwort des Anwenders zurückzuführen ist.
    5. Überprüfen Sie in Aktion 6, ob der Anwender eine gültige geschäftliche Begründung angegeben hat.
    6. Wenn der Anwender in Aktion 7 eine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Aufgaben aus.
      1. Erstellen Sie in Aktion 8 eine Antwortaufgabe, um die bisherigen Ergebnisse zu dokumentieren.
      2. Erstellen Sie in Aktion 9 eine Antwort, um eine Überprüfung nach Incident zu initiieren.
        In Aktion 10 endet der Flow.
    7. Überprüfen Sie in Aktion 11 die IP-Adresse und den Client-Anwender-Agent, von dem aus die Authentifizierungsanforderung gestellt wird, und versuchen Sie, zu identifizieren, ob sie Teil einer Brute-Force-Aktivität ist, indem Sie auf die IP-Adresse drehen.
    8. Informieren Sie in Aktion 12 den betroffenen Anwender, dass der Account zu Untersuchungszwecken gesperrt wird.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Anwender zu informieren.
      Abbildung : 2. Verwenden des Playbooks „Fehler bei der Okta-Anwenderanmeldung aus mehreren IPs“
      Antwortaufgaben, wenn erfolgreiche Anmeldungen vor oder nach der Aktivität von den verschiedenen IPs/ASNs stattgefunden haben.
    9. Arbeiten Sie in Aktion 13 mit dem IT-Support-Team zusammen, um den Account zu sperren, und beginnen Sie mit der Untersuchung des Umfangs der Gefährdung.
    10. Setzen Sie in Aktion 14 das Anwenderpasswort zurück, und senden Sie eine E-Mail mit dem Standardpasswort an den Anwender.
    11. Blockieren Sie in Aktion 15 die schädlichen Quell-IPs.
    12. In Aktion 16 erhalten Sie Hilfe vom IT-Supportteam, um den Account freizugeben und wieder auf Betriebsstandards zurückzusetzen.
    13. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    14. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.