尝试暴力破解 Okta 用户帐户
编辑尝试暴力破解 Okta 用户帐户
编辑识别在 3 小时窗口内 Okta 用户帐户被锁定 3 次的情况。攻击者可能会尝试暴力破解或密码喷洒攻击以获取对用户帐户的未授权访问。默认的 Okta 身份验证策略确保在 10 次身份验证失败后锁定用户帐户。
规则类型: 阈值
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 5m
搜索索引自: now-180m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 战术:凭据访问
- 数据源:Okta
版本: 210
规则作者:
- Elastic
- @BenB196
- Austin Songer
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查尝试暴力破解 Okta 用户帐户
暴力破解攻击旨在通过穷举的试错尝试来猜测用户凭据。在这种情况下,Okta 帐户成为目标。
当 Okta 用户帐户在 3 小时窗口内被锁定 3 次时,此规则会触发。这可能表明尝试进行暴力破解或密码喷洒攻击以获取对用户帐户的未授权访问。Okta 的默认身份验证策略在 10 次身份验证失败后锁定用户帐户。
可能的调查步骤
- 通过查看警报中的
okta.actor.alternate_id字段来识别与警报相关的攻击者。这应该会提供被攻击帐户的用户名。 - 查看
okta.event_type字段以了解导致帐户锁定的事件的性质。 - 检查
okta.severity和okta.display_message字段以获取有关锁定事件的更多上下文。 - 查找来自同一 IP 地址的事件的相关性。来自同一 IP 地址的多次锁定可能表明攻击的单一来源。
- 如果 IP 不熟悉,请对其进行调查。该 IP 可能是代理、VPN、Tor 节点、云数据中心或被恶意利用的合法 IP。
- 确定锁定事件是否发生在用户的正常活动时间内。异常时间可能表明恶意活动。
- 通过检查
okta.authentication_context.credential_type字段来检查锁定事件期间使用的身份验证方法。
误报分析
- 确定帐户所有者或内部用户是否在输入凭据时反复出错,从而导致帐户锁定。
- 确保没有已知的网络或应用程序问题可能导致这些事件。
响应和补救
- 立即提醒用户和您的 IT 部门。
- 如果确认未经授权的访问,请启动您的事件响应流程。
- 调查攻击来源。如果特定的机器或网络受到入侵,可能需要采取其他措施来解决问题。
- 要求受影响的用户更改其密码。
- 如果攻击仍在继续,请考虑阻止发起暴力破解攻击的 IP 地址。
- 实施帐户锁定策略以限制暴力破解攻击的影响。
- 鼓励用户使用复杂、唯一的密码,并考虑实施多因素身份验证。
- 检查受损帐户是否被用于访问或更改任何敏感数据或系统。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或结构类似的数据才能与此规则兼容。
规则查询
编辑event.dataset:okta.system and event.action:user.account.lock
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考网址:https://attack.mitre.org/techniques/T1110/