尝试修改 Okta 策略
编辑尝试修改 Okta 策略
编辑检测尝试修改 Okta 策略的行为。攻击者可能会尝试修改 Okta 策略以削弱组织的安全控制。例如,攻击者可能会尝试修改 Okta 多因素身份验证 (MFA) 策略,以削弱用户帐户的身份验证要求。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例: 身份和访问审计
- 数据源: Okta
- 策略: 防御规避
版本: 410
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查尝试修改 Okta 策略
对 Okta 策略的修改可能表明试图削弱组织的安全控制。如果检测到此类尝试,请考虑以下调查步骤。
可能的调查步骤
- 确定与事件关联的行为者。检查字段
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name。 - 确定行为者使用的客户端。您可以查看
okta.client.device、okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.ip_chain.ip和okta.client.geographical_context。 - 检查策略修改的性质。您可以查看
okta.target字段,特别是okta.target.display_name和okta.target.id。 - 检查
okta.outcome.result和okta.outcome.reason字段,以了解修改尝试的结果。 - 检查是否在短时间内从同一行为者或 IP 地址进行了其他类似的修改尝试。
误报分析
- 如果您的组织定期更新 Okta 策略作为正常操作的一部分,则此警报可能是误报。
- 检查与事件关联的行为者是否具有修改 Okta 策略的合法权利。
- 验证行为者的地理位置和修改尝试的时间。如果这些与行为者的常规行为一致,则可能是误报。
响应和补救
- 如果确认未经授权的修改,请启动事件响应流程。
- 立即锁定行为者的帐户并强制更改密码。
- 重置行为者的 MFA 令牌并强制重新注册(如果适用)。
- 审查行为者采取的任何其他操作,以评估总体影响。
- 如果攻击是通过特定技术促进的,请确保您的系统已修补或配置为防止此类技术。
- 考虑对您的 Okta 策略和规则进行安全审查,以确保它们遵循安全最佳实践。
设置
编辑此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。
规则查询
编辑event.dataset:okta.system and event.action:policy.lifecycle.update
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 削弱防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称: 禁用或修改云防火墙
- ID: T1562.007
- 参考 URL: https://attack.mitre.org/techniques/T1562/007/