尝试撤销 Okta API 令牌
编辑尝试撤销 Okta API 令牌
编辑识别尝试撤销 Okta API 令牌的行为。攻击者可能会尝试撤销或删除 Okta API 令牌,以扰乱组织的业务运营。
规则类型:查询
规则索引:
- filebeat-*
- logs-okta*
严重性:低
风险评分: 21
运行频率:5 分钟
每次执行的最大警报数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 使用案例:身份和访问审计
- 数据源:Okta
- 策略:影响
版本: 410
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑分类和分析
调查尝试撤销 Okta API 令牌
当尝试撤销 Okta API 令牌时,该规则会发出警报。API 令牌对于集成服务至关重要,撤销它们可能会导致服务中断。因此,验证这些活动非常重要。
可能的调查步骤
- 确定与 API 令牌撤销尝试相关的参与者。您可以使用
okta.actor.alternate_id
字段来实现此目的。 - 确定参与者使用的客户端。查看
okta.client.device
、okta.client.ip
、okta.client.user_agent.raw_user_agent
、okta.client.ip_chain.ip
和okta.client.geographical_context
字段。 - 验证 API 令牌撤销是否已获得授权或是否是计划活动的一部分。
- 检查
okta.outcome.result
和okta.outcome.reason
字段,以查看尝试是否成功或失败。 - 分析参与此操作的参与者的过去活动。通常执行此类活动的参与者可能表明存在合法原因。
- 评估此事件发生前后发生的活动。这可以帮助理解活动的完整上下文。
误报分析
- 如果该操作是计划活动的一部分或由授权人员执行,则可能是误报。
响应和补救
- 如果确认存在未经授权的撤销尝试,请启动事件响应流程。
- 阻止尝试中使用的 IP 地址或设备(如果它们看起来可疑)。
- 重置用户密码并强制重新注册 MFA(如果适用)。
- 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
- 如果撤销的令牌用于关键集成,请与相关团队协调以最大限度地减少影响。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:okta.system and event.action:system.api_token.revoke
框架:MITRE ATT&CKTM
-
策略
- 名称:影响
- ID:TA0040
- 参考 URL:https://attack.mitre.org/tactics/TA0040/
-
技术
- 名称:帐户访问删除
- ID:T1531
- 参考 URL:https://attack.mitre.org/techniques/T1531/