通过第三方 IdP 进行的 Okta 登录事件
编辑通过第三方 IdP 进行的 Okta 登录事件编辑
检测通过第三方身份提供商 (IdP) 进行身份验证的登录事件。
规则类型:查询
规则索引:
- filebeat-*
- logs-okta*
严重性:中等
风险评分: 47
每隔运行:15 分钟
从以下时间开始搜索索引:now-30m(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:
- https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
标签:
- 用例:身份和访问审核
- 策略:初始访问
- 数据源:Okta
版本: 2
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查通过第三方 IdP 进行的 Okta 登录事件
此规则检测通过第三方身份提供商 (IdP) 执行身份验证的登录事件。
攻击者可能尝试向 Okta 租户添加未经授权的 IdP 以获取对租户的访问权限。执行此操作后,攻击者可能尝试使用未经授权的 IdP 登录租户。此规则检测未经授权的 IdP 的添加和随后的登录尝试。
可能的调查步骤
- 通过检查
okta.authentication_context.issuer.id字段来识别第三方 IdP。 - 识别出第三方 IdP 后,确定该 IdP 是否被授权供租户使用。
- 如果 IdP 未经授权,请通过 Okta 控制台立即停用它。
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段中的历史数据来识别与 IdP 创建关联的参与者。 - 规则
管理员添加的新 Okta 身份提供商 (IdP)可能有助于识别参与者和 IdP 创建事件。 - 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查
okta.target字段中记录的先前操作来查看参与此操作的参与者的过去活动。 - 检查
okta.request.ip_chain字段以确定参与者是否使用代理或 VPN 执行此操作。 - 评估
okta.event_type字段中此事件前后发生的事件,以帮助了解活动的全部背景。
误报分析
- 如果该 IdP 被授权供租户使用,则可能是误报。
- 如果使用授权的第三方 IdP 登录租户,但由于配置不正确而发生故障,则可能是误报。
响应和补救
- 如果 IdP 未经授权,请通过 Okta 控制台立即停用它。
- 重置受影响用户的密码,并在适用时强制重新注册 MFA。
- 可能需要进行移动设备取证以确定用户的设备是否受损。
- 如果 IdP 已授权,请确保创建它的参与者有权这样做。
- 如果行为者未经授权,请通过 Okta 控制台停用其帐户。
- 如果行为者已授权,请确保行为者的帐户未被入侵。
- 如果
okta.client.ip和okta.device.id字段中的数据显示可疑,则阻止在尝试中使用的 IP 地址或设备。 - 检查 Okta 策略并确保它们符合安全最佳实践。
- 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并移除未经授权的 IdP。
设置编辑
Okta Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。
规则查询编辑
event.dataset:okta.system and okta.debug_context.debug_data.request_uri:/oauth2/v1/authorize/callback and
(not okta.authentication_context.issuer.id:Okta and event.action:(user.authentication.auth_via_IDP
or user.authentication.auth_via_inbound_SAML
or user.authentication.auth_via_mfa
or user.authentication.auth_via_social)
or event.action:user.session.start) or
(event.action:user.authentication.auth_via_IDP and okta.outcome.result:FAILURE
and okta.outcome.reason:("A SAML assert with the same ID has already been processed by Okta for a previous request"
or "Unable to match transformed username"
or "Unable to resolve IdP endpoint"
or "Unable to validate SAML Response"
or "Unable to validate incoming SAML Assertion"))
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:可信关系
- ID:T1199
- 参考网址:https://attack.mitre.org/techniques/T1199/