« 尝试修改 Okta 应用程序 尝试修改 Okta 策略 »
Elastic 文档 Elastic Security 解决方案 [8.17] 检测和告警 预构建规则参考

尝试修改 Okta 网络区域

编辑

尝试修改 Okta 网络区域

编辑

检测尝试修改 Okta 网络区域的行为。Okta 网络区域可以配置为基于 IP 地址或地理位置来限制或约束对网络的访问。攻击者可能会尝试修改、删除或停用 Okta 网络区域,以移除或削弱组织的安全控制。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性:中

风险评分: 47

运行频率:5 分钟

搜索索引起始时间:无 (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 用例:身份和访问审计
  • 数据源:Okta
  • 用例:网络安全监控
  • 策略:防御规避

版本: 410

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南

编辑

分类和分析

调查尝试修改 Okta 网络区域

修改 Okta 网络区域是一个关键事件,因为它可能允许攻击者无限制地访问您的网络。此规则检测尝试修改、删除或停用 Okta 网络区域的行为,这可能表明试图删除或削弱组织的安全控制。

可能的调查步骤

  • 通过查看告警中的 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与告警相关的行为者。
  • 查看 okta.client.user_agent.raw_user_agent 字段,了解行为者使用的设备和软件。
  • 检查 okta.outcome.reason 字段,了解有关修改尝试的其他上下文信息。
  • 检查 okta.outcome.result 字段,以确认网络区域修改尝试。
  • 检查同一行为者或 IP 地址 (okta.client.ip) 是否多次尝试修改网络区域。
  • 检查在修改尝试之后是否立即有成功的登录。
  • 验证行为者的活动是否与典型行为一致,或者在修改尝试前后是否发生任何异常活动。

误报分析

  • 检查在修改尝试时 Okta 系统是否存在问题。这可能表示系统错误,而不是真正的威胁活动。
  • 检查修改尝试的地理位置 (okta.request.ip_chain.geographical_context) 和时间。如果这些与行为者的正常行为匹配,则可能是一个误报。
  • 验证行为者的管理权限,以确保它们配置正确。

响应和补救

  • 如果确认了未经授权的修改,请启动事件响应流程。
  • 立即锁定受影响的行为者帐户,并要求更改密码。
  • 考虑重置行为者的 MFA 令牌,并要求重新注册。
  • 检查被入侵的帐户是否被用来访问或更改任何敏感数据或系统。
  • 如果使用了特定的修改技术,请确保您的系统已修补或配置为防止此类技术。
  • 评估受影响的服务和服务器的严重性。
  • 与您的 IT 团队合作,最大限度地减少对用户的影响并保持业务连续性。
  • 如果多个帐户受到影响,请考虑对 MFA 令牌进行更广泛的重置或审计。
  • 实施 Okta 概述的安全最佳实践。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构化的数据才能兼容。

规则查询

编辑
event.dataset:okta.system and event.action:(zone.update or network_zone.rule.disabled or zone.remove_blacklist)

框架:MITRE ATT&CKTM

« 尝试修改 Okta 应用程序 尝试修改 Okta 策略 »