« 首次出现 GitHub 用户 IP 地址 首次出现 GitHub 用户使用个人访问令牌 (PAT) »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

首次出现通过代理启动的 Okta 用户会话

编辑

首次出现通过代理启动的 Okta 用户会话

编辑

识别首次出现通过代理启动的 Okta 用户会话。

规则类型: new_terms

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中

风险评分: 47

运行频率: 5m

搜索索引起始时间: 无 ( 日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

  • 策略:初始访问
  • 用例:身份和访问审计
  • 数据源:Okta

版本: 205

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查首次出现通过代理启动的 Okta 用户会话

此规则检测首次出现通过代理启动的 Okta 用户会话。此规则旨在帮助识别可疑的身份验证行为,这些行为可能表明攻击者试图在保持匿名的情况下访问 Okta 帐户。此规则利用了“新术语”规则类型功能,其中会根据过去 7 天的数据检查 okta.actor.id 值,以确定该值是否在此活动中之前出现过。

可能的调查步骤

  • 通过检查 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段,确定参与此操作的用户。
  • 确定参与者使用的客户端。查看 okta.client.ipokta.client.user_agent.raw_user_agentokta.client.zoneokta.client.deviceokta.client.id 字段。
  • 检查 okta.debug_context.debug_data.flattened 字段,以获取有关所用代理的更多信息。
  • 查看 okta.request.ip_chain 字段,以获取有关代理地理位置的更多信息。
  • 通过检查参与此操作的参与者之前的操作,查看他们的过去活动。
  • 评估 okta.event_type 字段中此事件发生之前和之后发生的操作,以帮助了解活动的完整上下文。

误报分析

  • 用户可能出于安全或隐私原因合法地通过代理启动会话。

响应和补救

  • 查看参与此操作的用户的个人资料,以确定是否可能预期使用代理。
  • 如果用户是合法的且身份验证行为没有可疑之处,则无需采取任何操作。
  • 如果用户是合法的但身份验证行为可疑,请考虑重置用户密码并启用多因素身份验证 (MFA)。
  • 如果已启用 MFA,请考虑重置用户的 MFA。
  • 如果用户不合法,请考虑停用该用户的帐户。
  • 审查 Okta 策略,并确保它们符合安全最佳实践。

设置

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:okta.system and okta.event_type: (user.session.start or user.authentication.verify) and okta.security_context.is_proxy:true and not okta.actor.id: okta*

框架: MITRE ATT&CKTM

« 首次出现 GitHub 用户 IP 地址 首次出现 GitHub 用户使用个人访问令牌 (PAT) »