尝试撤销 Okta API 令牌

编辑

识别尝试撤销 Okta API 令牌的行为。攻击者可能会尝试撤销或删除 Okta API 令牌,以扰乱组织的业务运营。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性:低

风险评分: 21

运行频率:5 分钟

搜索索引范围:无 (日期数学格式,另请参阅附加回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

  • 使用案例:身份和访问审计
  • 数据源:Okta
  • 策略:影响

版本: 410

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南

编辑

分类和分析

调查尝试撤销 Okta API 令牌

当尝试撤销 Okta API 令牌时,该规则会发出警报。API 令牌对于集成服务至关重要,撤销它们可能会导致服务中断。因此,验证这些活动非常重要。

可能的调查步骤

  • 确定与 API 令牌撤销尝试相关的参与者。您可以使用 okta.actor.alternate_id 字段来实现此目的。
  • 确定参与者使用的客户端。查看 okta.client.deviceokta.client.ipokta.client.user_agent.raw_user_agentokta.client.ip_chain.ipokta.client.geographical_context 字段。
  • 验证 API 令牌撤销是否已获得授权或是否是计划活动的一部分。
  • 检查 okta.outcome.resultokta.outcome.reason 字段,以查看尝试是否成功或失败。
  • 分析参与此操作的参与者的过去活动。通常执行此类活动的参与者可能表明存在合法原因。
  • 评估此事件发生前后发生的活动。这可以帮助理解活动的完整上下文。

误报分析

  • 如果该操作是计划活动的一部分或由授权人员执行,则可能是误报。

响应和补救

  • 如果确认存在未经授权的撤销尝试,请启动事件响应流程。
  • 阻止尝试中使用的 IP 地址或设备(如果它们看起来可疑)。
  • 重置用户密码并强制重新注册 MFA(如果适用)。
  • 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
  • 如果撤销的令牌用于关键集成,请与相关团队协调以最大限度地减少影响。

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:okta.system and event.action:system.api_token.revoke

框架:MITRE ATT&CKTM