通过第三方身份提供商 (IdP) 的 Okta 登录事件
编辑通过第三方身份提供商 (IdP) 的 Okta 登录事件
编辑检测通过第三方身份提供商 (IdP) 进行身份验证的登录事件。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 15 分钟
搜索索引自: now-30m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 策略:初始访问
- 数据源:Okta
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过第三方身份提供商 (IdP) 的 Okta 登录事件
此规则检测通过第三方身份提供商 (IdP) 进行身份验证的登录事件。
攻击者可能会尝试向 Okta 租户添加未经授权的 IdP 以访问该租户。此操作之后,攻击者可能会尝试使用未经授权的 IdP 登录租户。此规则检测未经授权 IdP 的添加以及随后的登录尝试。
可能的调查步骤
- 检查
okta.authentication_context.issuer.id字段以识别第三方 IdP。 - 识别第三方 IdP 后,确定此 IdP 是否被授权用于该租户。
- 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
- 检查历史数据中的
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段以识别与 IdP 创建相关的参与者。 - “管理员添加的新 Okta 身份提供商 (IdP)”规则可能有助于识别参与者和 IdP 创建事件。
- 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查
okta.target字段中记录的先前操作,查看参与此操作的参与者的过去活动。 - 检查
okta.request.ip_chain字段以潜在地确定参与者是否使用代理或 VPN 执行此操作。 - 检查
okta.event_type字段中此事件之前和之后发生的操作,以帮助了解活动的完整上下文。
误报分析
- 如果此 IdP 获授权用于该租户,则可能是误报。
- 如果使用授权的第三方 IdP 登录租户,但由于配置错误而导致失败,则这可能是误报。
响应和补救措施
- 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
- 重置受影响用户的密码,并在适用情况下强制执行 MFA 重新注册。
- 可能需要移动设备取证以确定用户的设备是否受到入侵。
- 如果 IdP 已获授权,请确保创建 IdP 的参与者也已获授权。
- 如果参与者未经授权,请通过 Okta 控制台停用其帐户。
- 如果参与者已获授权,请确保参与者的帐户未受到入侵。
- 如果
okta.client.ip和okta.device.id字段中的数据显示可疑,请阻止尝试中使用的 IP 地址或设备。 - 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
- 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。
规则查询
编辑event.dataset:okta.system and okta.debug_context.debug_data.request_uri:/oauth2/v1/authorize/callback and
(not okta.authentication_context.issuer.id:Okta and event.action:(user.authentication.auth_via_IDP
or user.authentication.auth_via_inbound_SAML
or user.authentication.auth_via_mfa
or user.authentication.auth_via_social)
or event.action:user.session.start) or
(event.action:user.authentication.auth_via_IDP and okta.outcome.result:FAILURE
and okta.outcome.reason:("A SAML assert with the same ID has already been processed by Okta for a previous request"
or "Unable to match transformed username"
or "Unable to resolve IdP endpoint"
or "Unable to validate SAML Response"
or "Unable to validate incoming SAML Assertion"))
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:信任关系
- ID:T1199
- 参考网址:https://attack.mitre.org/techniques/T1199/