检测到新的 Okta 身份验证行为
编辑检测到新的 Okta 身份验证行为
编辑检测 Okta 行为检测已识别新身份验证行为的事件。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 15 分钟
搜索索引自: now-30m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大告警数: 100
参考:
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://help.okta.com/oie/en-us/content/topics/security/behavior-detection/about-behavior-detection.htm
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 战术:初始访问
- 数据源:Okta
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查检测到的新的 Okta 身份验证行为
此规则检测 Okta 行为检测已识别新身份验证行为(例如新设备或位置)的事件。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别参与此操作的用户。 - 通过检查
okta.debug_context.debug_data.risk_behaviors和okta.debug_context.debug_data.flattened字段来确定身份验证异常。 - 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查其之前的操作来查看参与此操作的参与者的过去活动。
- 检查
okta.request.ip_chain字段以潜在地确定参与者是否使用代理或 VPN 执行此操作。 - 评估在
okta.event_type字段中在此事件之前和之后发生的操作,以帮助了解活动的完整上下文。
误报分析
- 用户可能正在使用新设备或位置登录。
- Okta 行为检测可能错误地识别了新的身份验证行为,需要调整。
响应和补救措施
- 如果用户是合法的并且身份验证行为不可疑,则无需执行任何操作。
- 如果用户是合法的但身份验证行为可疑,请考虑重置用户的密码并启用多因素身份验证 (MFA)。
- 如果已启用 MFA,请考虑为用户重置 MFA。
- 如果用户不是合法的,请考虑停用用户的帐户。
- 如果这是误报,请考虑调整 Okta 行为检测设置。
- 如果尝试中使用的 IP 地址或设备看起来可疑,请使用
okta.client.ip和okta.device.id字段中的数据阻止它们。 - 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
设置
编辑Okta Fleet 集成、Filebeat 模块或类似结构的数据必须与此规则兼容。
规则查询
编辑event.dataset:okta.system and okta.debug_context.debug_data.risk_behaviors:*
框架: MITRE ATT&CKTM
-
战术
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/