« 尝试停用 Okta 策略 尝试删除 Okta 应用程序 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

尝试停用 Okta 策略规则

编辑

尝试停用 Okta 策略规则

编辑

检测尝试停用 Okta 策略中的规则。攻击者可能会尝试停用 Okta 策略中的规则,以删除或削弱组织的安全控制。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: 无 (日期数学格式,另请参见 其他回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 用例:身份和访问审计
  • 战术:防御规避
  • 数据源:Okta

版本: 209

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查尝试停用 Okta 策略规则

像 Okta 这样的身份和访问管理 (IAM) 系统是组织网络的第一道防线,并且通常是攻击者的目标。通过禁用安全规则,攻击者可以绕过多因素身份验证、访问控制或这些策略实施的其他保护措施,从而启用未经授权的访问、权限提升或其他恶意活动。

此规则检测尝试停用 Okta 策略中的规则,这可能表明攻击者试图削弱组织的安全控制。威胁参与者可能会这样做以消除其活动的障碍或启用未来的攻击。

可能的调查步骤

  • 通过查看告警中的 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与告警相关的参与者。
  • 查看 okta.client.user_agent.raw_user_agent 字段以了解参与者使用的设备和软件。
  • 检查 okta.outcome.reason 字段以获取有关停用尝试的更多上下文。
  • 检查 okta.outcome.result 字段以确认策略规则停用尝试。
  • 检查是否存在来自同一参与者或 IP 地址 (okta.client.ip) 的多个策略规则停用尝试。
  • 检查策略规则停用尝试后是否成功登录。
  • 验证参与者的活动是否与典型行为一致,或者在停用尝试发生时是否存在任何异常活动。

误报分析

  • 检查在停用尝试时 Okta 系统是否存在问题。这可能表示系统错误而不是真正的威胁活动。
  • 检查停用尝试的地理位置 (okta.request.ip_chain.geographical_context) 和时间。如果这些与参与者的正常行为相符,则可能是误报。
  • 验证参与者的管理权限以确保其配置正确。

响应和补救

  • 如果确认未经授权的策略规则停用,则启动事件响应流程。
  • 立即锁定受影响的参与者帐户并要求更改密码。
  • 考虑重置参与者的 MFA 令牌并要求重新注册。
  • 检查受损帐户是否用于访问或更改任何敏感数据或系统。
  • 如果使用了特定的停用技术,请确保您的系统已修补或配置为防止此类技术。
  • 评估受影响服务和服务器的关键性。
  • 与您的 IT 团队合作,最大程度地减少对用户的影响并保持业务连续性。
  • 如果多个帐户受到影响,请考虑更广泛地重置或审计 MFA 令牌。
  • 实施 Okta 概述 的安全最佳实践。
  • 使用事件响应数据,更新日志记录和审计策略以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

Okta Fleet 集成、Filebeat 模块或类似结构化的数据需要与该规则兼容。

规则查询

编辑
event.dataset:okta.system and event.action:policy.rule.deactivate

框架: MITRE ATT&CKTM

« 尝试停用 Okta 策略 尝试删除 Okta 应用程序 »