管理员添加新的 Okta 身份提供商 (IdP)
编辑管理员添加新的 Okta 身份提供商 (IdP)
编辑检测超级管理员或组织管理员在 Okta 中创建新的身份提供商 (IdP)。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重程度: 中等
风险评分: 47
每隔: 15 分钟
搜索索引时间范围: now-30m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
- https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 战术:持久性
- 数据源:Okta
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查管理员添加新的 Okta 身份提供商 (IdP)
此规则检测超级管理员或组织管理员在 Okta 中创建新的身份提供商 (IdP)。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别与 IdP 创建相关的操作者。 - 通过查看
okta.target字段并确定此 IdP 是否已授权来识别添加的 IdP。 - 确定操作者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查
okta.target字段中记录的操作者的先前操作,查看参与此操作的操作者的过去活动。 - 检查
okta.request.ip_chain字段以潜在地确定操作者是否使用代理或 VPN 执行此操作。 - 评估在
okta.event_type字段中此事件前后发生的事件,以帮助了解活动的完整上下文。
误报分析
- 如果操作是计划活动的一部分或由授权人员执行,则可能是误报。
- 在此成功之前有多次失败尝试,可能表明攻击者试图多次添加未经授权的 IdP。
响应和补救措施
- 如果 IdP 未经授权,请立即通过 Okta 控制台停用它。
- 如果 IdP 已授权,请确保创建它的操作者有权这样做。
- 如果操作者未经授权,请通过 Okta 控制台停用其帐户。
- 如果操作者已授权,请确保操作者的帐户未被入侵。
- 重置用户的密码,并在适用情况下强制重新注册 MFA。
- 如果它们看起来可疑,请使用
okta.client.ip和okta.device.id字段中的数据阻止尝试中使用的 IP 地址或设备。 - 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
- 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset: "okta.system" and event.action: "system.idp.lifecycle.create" and okta.outcome.result: "SUCCESS"
框架: MITRE ATT&CKTM
-
战术
- 名称:持久性
- ID:TA0003
- 参考网址:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:修改身份验证流程
- ID:T1556
- 参考网址:https://attack.mitre.org/techniques/T1556/
-
子技术
- 名称:混合身份
- ID:T1556.007
- 参考网址:https://attack.mitre.org/techniques/T1556/007/