Okta FastPass 钓鱼检测

编辑

Okta FastPass 钓鱼检测

编辑

检测 Okta FastPass 如何阻止用户向钓鱼网站进行身份验证。

规则类型: 查询

规则索引:

filebeat-*
logs-okta*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

策略：初始访问
用例：身份和访问审核
数据源：Okta

版本: 105

规则作者:

Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

此规则要求 Okta 启用以下功能：

Okta Identity Engine - 在管理员控制台的“设置”>“功能”下选择 *FastPass 的防钓鱼功能*。

规则查询

编辑

event.dataset:okta.system and event.category:authentication and
  okta.event_type:user.authentication.auth_via_mfa and event.outcome:failure and okta.outcome.reason:"FastPass declined phishing attempt"

框架: MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考 URL：https://attack.mitre.org/techniques/T1566/

« Okta 暴力破解或密码喷洒攻击通过第三方 IdP 的 Okta 登录事件 »