Bloqueio de usuários com base em ameaças

Editar online

Combata proativamente ataques em andamento utilizando políticas de acesso baseadas em ameaças para bloquear automaticamente usuários suspeitos, ampliando as proteções baseadas em IP para a aplicação de regras no nível do usuário durante o fluxo de SSO.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador. Para obter mais informações, consulte Acessando IBM Verify.

Sobre esta tarefa

Atualmente, os invasores estão cadastrando um grande número de dispositivos de autenticação multifatorial (OTP por voz/SMS) para usuários em várias regiões, o que faz com que os clientes tenham que desativar manualmente as contas comprometidas identificadas pelo serviço de detecção de ameaças. Embora seja possível bloquear endereços IP, não existe uma forma automatizada de impedir o acesso de usuários suspeitos. É necessário um mecanismo de bloqueio no nível do usuário durante o fluxo de SSO para resolver essa lacuna.

O serviço de Inteligência de Ameaças (TI) foi aprimorado para incluir os userId dados da sessão atual de SSO, permitindo identificar se o usuário autenticado é suspeito.

É criado um novo atributo personalizado para o fluxo de SSO: ibm:threat_is_suspicious_user. É semelhante aos atributos personalizados existentes relacionados a ameaças e está disponível durante o fluxo de SSO.

Procedimento

  1. Faça login como administrador no IBM Verify. Vá até o ícone do perfil e clique em “Alternar para administrador ”.
  2. Selecione Segurança > Políticas de acesso. Criar ou atualizar uma política de acesso existente.
    • ibm:threat_is_suspicious_userDefina as regras da política (SSO) usando o atributo personalizado. Por exemplo,

      Condição : ibm:threat_is_suspicious_user está definido como verdadeiro

      Ação : Bloquear, exigir autenticação de dois fatores ou Permitir

  3. Salve e publique a política de acesso.
  4. Selecione Aplicativos > Configurações do aplicativo > Login e, em seguida, adicione esta política criada ao aplicativo selecionado.

O quê fazer em seguida

  • Quando um usuário faz login no IBM Verify e tenta acessar o aplicativo, o serviço de Inteligência contra Ameaças (TI) avalia se o usuário é suspeito.
  • Se o usuário for considerado suspeito, então, com base na ação definida na regra da política de acesso, ele será bloqueado ou terá que passar pela autenticação multifatorial (MFA).
  • Se o usuário não for suspeito, ele terá permissão para acessar o aplicativo.