尝试暴力破解 Okta 用户帐户
编辑尝试暴力破解 Okta 用户帐户
编辑识别 Okta 用户帐户在 3 小时内被锁定 3 次的情况。攻击者可能会尝试暴力破解或密码喷射攻击,以获取对用户帐户的未授权访问。默认的 Okta 身份验证策略确保用户帐户在 10 次身份验证失败后被锁定。
规则类型: 阈值
规则索引:
- filebeat-*
- logs-okta*
严重程度: 中
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: now-180m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 战术:凭证访问
- 数据源:Okta
版本: 412
规则作者:
- Elastic
- @BenB196
- Austin Songer
规则许可证: Elastic License v2
调查指南
编辑初步评估和分析
调查尝试暴力破解 Okta 用户帐户的行为
暴力破解攻击旨在通过详尽的试错尝试来猜测用户凭据。在这种情况下,Okta 帐户是目标。
当 Okta 用户帐户在 3 小时内被锁定 3 次时,此规则会触发。这可能表明有人试图通过暴力破解或密码喷射攻击来获得对用户帐户的未授权访问。Okta 的默认身份验证策略会在 10 次身份验证失败后锁定用户帐户。
可能的调查步骤
- 通过查看警报中的
okta.actor.alternate_id字段来识别与警报相关的行为者。这将提供被攻击帐户的用户名。 - 查看
okta.event_type字段,以了解导致帐户锁定的事件性质。 - 检查
okta.severity和okta.display_message字段,以获取有关锁定事件的更多上下文。 - 查找来自同一 IP 地址的事件的相关性。来自同一 IP 地址的多次锁定可能表明攻击的单一来源。
- 如果 IP 不熟悉,请对其进行调查。IP 可能是代理、VPN、Tor 节点、云数据中心或已被恶意利用的合法 IP。
- 确定锁定事件是否发生在用户的正常活动时间内。异常的时间可能表示恶意活动。
- 通过检查
okta.authentication_context.credential_type字段来检查锁定事件期间使用的身份验证方法。
误报分析
- 确定是否是帐户所有者或内部用户在输入凭据时重复出错,导致帐户锁定。
- 确保不存在可能导致这些事件的已知网络或应用程序问题。
响应和补救
- 立即向用户和您的 IT 部门发出警报。
- 如果确认了未授权访问,请启动您的事件响应流程。
- 调查攻击的来源。如果特定的机器或网络被入侵,可能需要采取其他步骤来解决该问题。
- 要求受影响的用户更改其密码。
- 如果攻击正在进行,请考虑阻止发起暴力破解攻击的 IP 地址。
- 实施帐户锁定策略,以限制暴力破解攻击的影响。
- 鼓励用户使用复杂、唯一的密码,并考虑实施多因素身份验证。
- 检查被入侵的帐户是否被用于访问或更改任何敏感数据或系统。
设置
编辑此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。
规则查询
编辑event.dataset:okta.system and event.action:user.account.lock
框架: MITRE ATT&CKTM
-
战术
- 名称:凭证访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考 URL:https://attack.mitre.org/techniques/T1110/