通过代理启动的Okta用户会话首次出现
编辑通过代理启动的Okta用户会话首次出现
编辑识别通过代理启动的Okta用户会话的首次出现。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 5分钟
每次执行的最大告警数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://developer.okta.com/docs/reference/api/system-log/#issuer-object
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 策略:初始访问
- 用例:身份和访问审计
- 数据源:Okta
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过代理启动的Okta用户会话的首次出现
此规则检测通过代理启动的Okta用户会话的首次出现。此规则旨在帮助识别可疑的身份验证行为,这些行为可能表明攻击者试图访问Okta帐户的同时保持匿名。此规则利用“新术语”规则类型功能,其中okta.actor.id值与过去7天的数据进行检查,以确定此活动之前是否已看到该值。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别参与此操作的用户。 - 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 检查
okta.debug_context.debug_data.flattened字段以获取有关所用代理的更多信息。 - 查看
okta.request.ip_chain字段以获取有关代理地理位置的更多信息。 - 通过检查其之前的操作来查看参与此操作的参与者的过去活动。
- 评估
okta.event_type字段中此事件之前和之后发生的事件,以帮助了解活动的完整上下文。
误报分析
- 出于安全或隐私原因,用户可能已通过代理合法地启动了会话。
响应和补救措施
- 查看参与此操作的用户的个人资料,以确定是否可以预期代理使用情况。
- 如果用户是合法的并且身份验证行为没有可疑之处,则无需采取任何措施。
- 如果用户是合法的,但身份验证行为可疑,请考虑重置用户的密码并启用多因素身份验证 (MFA)。
- 如果已启用MFA,请考虑重置用户的MFA。
- 如果用户是非法的,请考虑停用用户的帐户。
- 对Okta策略进行审查,并确保它们符合安全最佳实践。
设置
设置
编辑需要Okta Fleet集成、Filebeat模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:okta.system and okta.event_type: (user.session.start or user.authentication.verify) and okta.security_context.is_proxy:true and not okta.actor.id: okta*
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:外部远程服务
- ID:T1133
- 参考网址:https://attack.mitre.org/techniques/T1133/