« 潜在的非标准端口 SSH 连接 潜在的 OpenSSH 后门日志记录活动 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

通过推送通知进行 Okta 多因素身份验证 (MFA) 暴力攻击的潜在风险

编辑

通过推送通知进行 Okta 多因素身份验证 (MFA) 暴力攻击的潜在风险

编辑

检测攻击者通过重复发出登录请求来滥用多因素身份验证机制,直到用户最终接受 Okta 推送通知的情况。攻击者可能会试图绕过为组织配置的 Okta MFA 策略以获得未经授权的访问。

规则类型: eql

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引起始时间: 无 (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数量: 100

参考资料:

标签:

  • 用例:身份和访问审计
  • 策略:凭据访问
  • 数据源:Okta

版本: 5

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过推送通知进行 Okta 多因素身份验证 (MFA) 暴力攻击的潜在风险

多因素身份验证 (MFA) 是防止未经授权访问的有效方法。但是,一些攻击者可能会滥用该系统,重复发送 MFA 推送通知,直到用户无意中批准访问。

此规则检测到用户拒绝两次 MFA Okta Verify 推送通知,然后在 10 分钟内发生一次成功的身份验证事件的情况。此序列可能表明攻击者试图绕过 Okta MFA 策略。

可能的调查步骤

  • 通过查看 user.email 字段来识别收到 MFA 通知的用户。
  • 确定 MFA 请求以及随后成功登录的时间、源 IP 和地理位置。
  • 查看 event.action 字段以了解事件的性质。它应包括两个 user.mfa.okta_verify.deny_push 操作和一个 user.authentication.sso 操作。
  • 询问用户是否记得收到 MFA 通知以及随后登录其帐户。
  • 检查 MFA 请求和成功登录是否发生在用户的正常活动时间内。
  • 查找帐户在同一时间段内发生的任何其他可疑活动。
  • 确定您的组织中其他用户是否重复出现相同的模式。多个用户同时收到推送通知可能表明存在更大的攻击。

误报分析

  • 确定 MFA 推送通知是否合法。有时,用户会意外触发 MFA 请求或无意中拒绝它们,然后才批准它们。
  • 检查 MFA 系统中是否存在导致错误拒绝的已知问题。

响应和补救措施

  • 如果确认未经授权的访问,请启动您的事件响应流程。
  • 立即提醒用户和您的 IT 部门。
  • 如果可能,隔离用户的帐户,直到问题解决。
  • 调查未经授权访问的来源。
  • 如果帐户被未经授权的方访问,请确定他们在登录后采取的操作。
  • 考虑增强您的 MFA 策略以防止此类事件将来发生。
  • 鼓励用户立即报告任何意外的 MFA 通知。
  • 根据事件调查结果,审查和更新您的事件响应计划和安全策略。

设置

编辑

设置

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询

编辑
sequence by okta.actor.id with maxspan=10m
  [authentication where event.dataset == "okta.system"
    and okta.event_type == "user.mfa.okta_verify.deny_push"] with runs=5
  until [authentication where event.dataset == "okta.system"
    and (okta.event_type: (
      "user.authentication.sso",
      "user.authentication.auth_via_mfa",
      "user.authentication.verify",
      "user.session.start") and okta.outcome.result == "SUCCESS")]

框架: MITRE ATT&CKTM

« 潜在的非标准端口 SSH 连接 潜在的 OpenSSH 后门日志记录活动 »