尝试修改 Okta 网络区域
编辑尝试修改 Okta 网络区域
编辑检测尝试修改 Okta 网络区域的行为。Okta 网络区域可以配置为基于 IP 地址或地理位置限制或限制对网络的访问。攻击者可能会尝试修改、删除或停用 Okta 网络区域,以移除或削弱组织的安全控制措施。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 5 分钟
每次执行的最大告警数: 100
参考资料:
- https://help.okta.com/en/prod/Content/Topics/Security/network/network-zones.htm
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 用例:网络安全监控
- 策略:防御规避
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查尝试修改 Okta 网络区域
修改 Okta 网络区域是一个关键事件,因为它可能允许攻击者获得对您网络的无限制访问权限。此规则检测尝试修改、删除或停用 Okta 网络区域的行为,这可能表明尝试删除或削弱组织的安全控制措施。
可能的调查步骤
- 通过查看告警中的
okta.actor.id、okta.actor.type、okta.actor.alternate_id或okta.actor.display_name字段来识别与告警相关的行为者。 - 查看
okta.client.user_agent.raw_user_agent字段以了解行为者使用的设备和软件。 - 检查
okta.outcome.reason字段以获取有关修改尝试的更多上下文。 - 检查
okta.outcome.result字段以确认网络区域修改尝试。 - 检查是否来自相同行为者或 IP 地址 (
okta.client.ip) 的多个网络区域修改尝试。 - 检查修改尝试后是否立即成功登录。
- 验证行为者的活动是否符合典型行为,或者在修改尝试前后是否存在任何异常活动。
误报分析
- 检查在修改尝试时 Okta 系统是否存在问题。这可能表示系统错误而不是真正的威胁活动。
- 检查修改尝试的地理位置 (
okta.request.ip_chain.geographical_context) 和时间。如果这些与行为者的正常行为匹配,则可能是误报。 - 验证行为者的管理权限是否正确配置。
响应和补救
- 如果确认未经授权的修改,请启动事件响应流程。
- 立即锁定受影响的行为者帐户并要求更改密码。
- 考虑重置行为者的 MFA 令牌并要求重新注册。
- 检查受损帐户是否用于访问或更改任何敏感数据或系统。
- 如果使用了特定的修改技术,请确保您的系统已修补或配置为防止此类技术。
- 评估受影响的服务和服务器的关键性。
- 与您的 IT 团队合作,最大限度地减少对用户的影响并保持业务连续性。
- 如果多个帐户受到影响,请考虑更广泛地重置或审核 MFA 令牌。
- 实施 Okta概述的安全最佳实践。
- 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或结构类似的数据才能与该规则兼容。
规则查询
编辑event.dataset:okta.system and event.action:(zone.update or network_zone.rule.disabled or zone.remove_blacklist)
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:削弱防御
- ID:T1562
- 参考网址:https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改云防火墙
- ID:T1562.007
- 参考网址:https://attack.mitre.org/techniques/T1562/007/