› › ›

Okta MFA 绕过尝试

检测绕过 Okta 多因素身份验证 (MFA) 的尝试。攻击者可能会尝试绕过为组织配置的 Okta MFA 策略，以获取对应用程序的未授权访问。

规则类型: 查询

规则索引:

严重性: 高

风险评分: 73

每隔: 5m

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

版本: 209

规则作者:

规则许可证: Elastic License v2

分类和分析

调查 Okta MFA 绕过尝试

多因素身份验证 (MFA) 是防止未授权访问的关键安全措施。Okta MFA 与其他 MFA 解决方案一样，要求用户在登录时提供多种身份识别方式。攻击者可能会尝试绕过 Okta MFA 以获取对应用程序的未授权访问。

此规则检测绕过 Okta MFA 的尝试。这可能表明严重尝试破坏组织网络中的用户帐户。

可能的调查步骤

通过查看告警中的 okta.actor.id、okta.actor.type、okta.actor.alternate_id 或 okta.actor.display_name 字段来识别与告警相关的行为者。
查看 okta.client.user_agent.raw_user_agent 字段以了解行为者使用的设备和软件。
检查 okta.outcome.reason 字段以获取有关绕过尝试的其他上下文。
检查 okta.outcome.result 字段以确认 MFA 绕过尝试。
检查是否存在来自相同行为者或 IP 地址 (okta.client.ip) 的多次不成功的 MFA 尝试。
检查 MFA 绕过尝试后是否立即进行了成功的登录。
验证行为者的活动是否与典型行为一致，或者在绕过尝试发生时是否发生了任何异常活动。

误报分析

检查在绕过尝试发生时 MFA 系统是否存在问题。这可能表示系统错误而不是真正的绕过尝试。
检查登录尝试的地理位置 (okta.request.ip_chain.geographical_context) 和时间。如果这些与行为者的正常行为相符，则可能为误报。
验证行为者的 MFA 设置以确保其配置正确。

响应和补救

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

event.dataset:okta.system and event.action:user.mfa.attempt_bypass

框架: MITRE ATT&CK^TM