› › ›

Okta用户账户未重新激活的多因素身份验证（MFA）停用

编辑

Okta用户账户未重新激活的多因素身份验证（MFA）停用

编辑

检测Okta用户账户的多因素身份验证（MFA）停用，且之后未重新激活。攻击者可能会停用Okta用户账户的MFA，以削弱账户的身份验证要求。

规则类型: eql

规则索引:

filebeat-*
logs-okta.system*

严重性: 低

风险评分: 21

运行频率: 6小时

搜索索引时间范围: now-12h (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

策略：持久性
用例：身份和访问审计
数据源：Okta
领域：云

版本: 210

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查Okta用户账户未重新激活的多因素身份验证（MFA）停用

MFA用于为用户账户提供额外的安全层。攻击者可能会停用Okta用户账户的MFA以实现持久性。

当Okta用户账户的MFA被停用，并且在12小时内未观察到后续的MFA重新激活时，此规则将触发。

可能的调查步骤

通过查看告警中的okta.actor.alternate_id字段来识别与告警相关的行为者。这应该会给出目标账户的用户名。
查看okta.target或user.target.full_name字段以确定停用是否由不同的用户执行。
使用okta.actor.alternate_id字段，搜索MFA重新激活事件，其中okta.event_type为user.mfa.factor.activate。
查看okta.event_type为user.authenticate*的事件，以确定用户账户是否存在可疑登录活动。
在client.geo*相关字段中找到的地理位置详细信息可能有助于确定此用户的登录活动是否可疑。

误报步骤

与目标用户确认MFA停用是否预期行为。
确定目标用户账户是否需要MFA。

响应和补救措施

如果MFA停用并非预期行为，请考虑停用用户。
这应之后重置用户的密码并重新启用MFA。
如果MFA停用是预期行为，请考虑向此规则添加例外情况以过滤误报。
调查攻击来源。如果特定的机器或网络受到入侵，可能需要采取其他步骤来解决问题。
鼓励用户使用复杂、独特的密码，并考虑实施多因素身份验证。
检查受入侵的账户是否用于访问或更改任何敏感数据、应用程序或系统。
检查客户端用户代理，以确定它是否是可列入白名单的已知自定义应用程序。

设置

编辑

需要Okta Fleet集成、Filebeat模块或类似结构的数据才能与该规则兼容。

规则查询

编辑

sequence by okta.actor.id with maxspan=12h
    [any where event.dataset == "okta.system" and okta.event_type in ("user.mfa.factor.deactivate", "user.mfa.factor.reset_all")
        and okta.outcome.reason != "User reset SECURITY_QUESTION factor" and okta.outcome.result == "SUCCESS"]
    ![any where event.dataset == "okta.system" and okta.event_type == "user.mfa.factor.activate"]

框架: MITRE ATT&CK^TM

策略
- 名称：持久性
- ID：TA0003
- 参考URL：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：修改身份验证流程
- ID：T1556
- 参考URL：https://attack.mitre.org/techniques/T1556/
子技术
- 名称：多因素身份验证
- ID：T1556.006
- 参考URL：https://attack.mitre.org/techniques/T1556/006/

« 本地计划任务创建 Google Workspace组织禁用MFA »