› › ›

来自罕见未知客户端设备的成功应用程序 SSO

检测来自未识别或“未知”客户端设备（由用户代理字符串标识）到 Okta 应用程序的成功单点登录 (SSO) 事件。此活动可能表明 Okta 的经典引擎中存在漏洞，这可能允许攻击者绕过特定于应用程序的登录策略，例如设备或网络限制。该漏洞可能允许仅使用有效的被盗凭据即可未经授权访问应用程序，而无需其他身份验证因素。

规则类型：new_terms

规则索引:

filebeat-*
logs-okta*

严重性：中等

风险评分: 47

每隔：5 分钟

搜索索引自：now-9m（日期数学格式，另请参见 额外回溯时间）

每次执行的最大告警数: 100

参考:

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

标签:

领域：SaaS
数据源：Okta
用例：威胁检测
用例：身份和访问审计
策略：初始访问

版本: 2

规则作者:

Elastic

规则许可证：Elastic License v2

规则查询

编辑

event.dataset: "okta.system"
    and event.action: "user.authentication.sso"
    and event.outcome: "success"
    and okta.client.device: ("Unknown" or "unknown")

框架：MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：有效帐户
- ID：T1078
- 参考网址：https://attack.mitre.org/techniques/T1078/

« Sublime 插件或应用程序脚本修改检测到 Sudo 命令枚举 »