› › ›

使用客户端凭据的公共应用程序 OAuth2 令牌授予的未授权范围

识别对使用客户端凭据的公共客户端应用程序的 OAuth 2.0 令牌授予尝试失败的情况。当公共客户端应用程序尝试将客户端凭据授予换成 OAuth 2.0 访问令牌但由于缺少所需范围而被拒绝时，会生成此事件。这可能表示客户端凭据遭到破坏，攻击者试图获取对未授权范围的访问令牌。这是一个 [新术语](https://elastic.ac.cn/guide/en/security/master/rules-ui-create.html#create-new-terms-rule) 规则，其中 okta.actor.display_name 字段值在过去 14 天内未在此事件中出现过。

规则类型: new_terms

规则索引:

filebeat-*
logs-okta*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大告警数: 100

参考:

标签:

领域: SaaS
数据源: Okta
用例: 威胁检测
用例: 身份和访问审计
策略: 防御规避

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

event.dataset: okta.system
    and event.action: "app.oauth2.as.token.grant"
    and okta.actor.type: "PublicClientApp"
    and okta.debug_context.debug_data.flattened.grantType: "client_credentials"
    and okta.outcome.result: "FAILURE"
    and not okta.client.user_agent.raw_user_agent: "Okta-Integrations"
    and not okta.actor.display_name: (Okta* or Datadog)
    and not okta.debug_context.debug_data.flattened.requestedScopes: ("okta.logs.read" or "okta.eventHooks.read" or "okta.inlineHooks.read")
    and okta.outcome.reason: "no_matching_scope"

框架: MITRE ATT&CK^TM

策略
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 使用备用身份验证材料
- ID: T1550
- 参考网址: https://attack.mitre.org/techniques/T1550/
子技术
- 名称: 应用程序访问令牌
- ID: T1550.001
- 参考网址: https://attack.mitre.org/techniques/T1550/001/

« 对 Okta 应用程序的未授权访问不常见的注册表持久性更改 »