« 添加了 AdminSDHolder SDProp 排除 分配给 Okta 用户的管理员角色 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

分配给 Okta 组的管理员权限

编辑

分配给 Okta 组的管理员权限

编辑

检测何时将管理员角色分配给 Okta 组。攻击者可能会尝试将管理员权限分配给 Okta 组,以便为受损用户帐户分配额外的权限,并保持对其目标组织的访问权限。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: 无 ( 日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 用例:身份和访问审计
  • 数据源:Okta
  • 策略:持久化

版本: 409

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构化数据才能与此规则兼容。

规则查询

编辑
event.dataset:okta.system and event.action:group.privilege.grant

框架: MITRE ATT&CKTM

« 添加了 AdminSDHolder SDProp 排除 分配给 Okta 用户的管理员角色 »