尝试修改 Okta 策略
编辑尝试修改 Okta 策略
编辑检测尝试修改 Okta 策略的行为。攻击者可能会尝试修改 Okta 策略以削弱组织的安全控制措施。例如,攻击者可能会尝试修改 Okta 多因素身份验证 (MFA) 策略,以削弱用户帐户的身份验证要求。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 低
风险评分: 21
每: 5 分钟运行一次
每次执行的最大告警数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 数据来源:Okta
- 策略:防御规避
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查尝试修改 Okta 策略
对 Okta 策略的修改可能表明试图削弱组织的安全控制措施。如果检测到此类尝试,请考虑以下调查步骤。
可能的调查步骤
- 确定与事件相关的参与者。检查字段
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name。 - 确定参与者使用的客户端。您可以查看
okta.client.device、okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.ip_chain.ip和okta.client.geographical_context。 - 检查策略修改的性质。您可以查看
okta.target字段,特别是okta.target.display_name和okta.target.id。 - 检查
okta.outcome.result和okta.outcome.reason字段以了解修改尝试的结果。 - 检查在短时间内是否曾有来自同一参与者或 IP 地址的其他类似修改尝试。
误报分析
- 如果贵组织定期更新 Okta 策略作为正常操作的一部分,则此警报可能是误报。
- 检查与事件相关的参与者是否有权修改 Okta 策略。
- 验证参与者的地理位置和修改尝试的时间。如果这些与参与者的常规行为一致,则可能是误报。
响应和补救
- 如果确认未经授权的修改,请启动事件响应流程。
- 立即锁定参与者的帐户并强制更改密码。
- 如有必要,重置参与者的 MFA 令牌并强制重新注册。
- 查看参与者采取的其他任何行动,以评估整体影响。
- 如果攻击是通过特定技术实现的,请确保您的系统已修补或配置为防止此类技术。
- 考虑对您的 Okta 策略和规则进行安全审查,以确保它们遵循安全最佳实践。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。
规则查询
编辑event.dataset:okta.system and event.action:policy.lifecycle.update
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:削弱防御
- ID:T1562
- 参考网址:https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改云防火墙
- ID:T1562.007
- 参考网址:https://attack.mitre.org/techniques/T1562/007/