« 尝试卸载 Elastic Endpoint Security 内核扩展 尝试访问私钥 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

尝试绕过 Okta MFA

编辑

尝试绕过 Okta MFA

编辑

检测尝试绕过 Okta 多因素身份验证 (MFA) 的行为。攻击者可能会尝试绕过为组织配置的 Okta MFA 策略,以获得对应用程序的未授权访问。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-okta*

严重程度: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: 无 (使用 日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 数据源: Okta
  • 用例: 身份和访问审计
  • 策略: 凭证访问

版本: 411

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查尝试绕过 Okta MFA 的行为

多因素身份验证 (MFA) 是防止未经授权访问的关键安全措施。与其他 MFA 解决方案一样,Okta MFA 要求用户在登录时提供多种身份验证方式。攻击者可能会尝试绕过 Okta MFA 以获得对应用程序的未授权访问。

此规则检测尝试绕过 Okta MFA 的行为。这可能表明有人试图严重危害组织网络中的用户帐户。

可能的调查步骤

  • 通过查看警报中的 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与警报相关的参与者。
  • 查看 okta.client.user_agent.raw_user_agent 字段,了解参与者使用的设备和软件。
  • 检查 okta.outcome.reason 字段,获取有关绕过尝试的其他背景信息。
  • 检查 okta.outcome.result 字段,确认 MFA 绕过尝试。
  • 检查是否同一参与者或 IP 地址 (okta.client.ip) 发起了多次 MFA 尝试失败的情况。
  • 检查在 MFA 绕过尝试后是否立即成功登录。
  • 验证参与者的活动是否与典型行为一致,或者在绕过尝试期间是否发生了任何异常活动。

误报分析

  • 检查在绕过尝试时 MFA 系统是否存在问题。这可能表明是系统错误,而不是真正的绕过尝试。
  • 检查登录尝试的地理位置 (okta.request.ip_chain.geographical_context) 和时间。如果这些与参与者的正常行为相符,则可能是误报。
  • 验证参与者的 MFA 设置,确保其配置正确。

响应和补救

  • 如果确认存在未授权访问,请启动事件响应流程。
  • 立即锁定受影响的参与者帐户并要求更改密码。
  • 考虑重置参与者的 MFA 令牌并要求重新注册。
  • 检查被入侵的帐户是否用于访问或更改任何敏感数据或系统。
  • 如果使用了特定的 MFA 绕过技术,请确保您的系统已修补或配置为防止此类技术。
  • 评估受影响的服务和服务器的关键性。
  • 与您的 IT 团队合作,最大限度地减少对用户的影响并保持业务连续性。
  • 如果多个帐户受到影响,请考虑更广泛地重置或审核 MFA 令牌。
  • 实施 Okta 概述的安全最佳实践。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:okta.system and event.action:user.mfa.attempt_bypass

框架: MITRE ATT&CKTM

« 尝试卸载 Elastic Endpoint Security 内核扩展 尝试访问私钥 »