› › ›

Okta 用户账户 MFA 禁用且未重新激活

编辑

Okta 用户账户 MFA 禁用且未重新激活

编辑

检测 Okta 用户账户的多因素身份验证 (MFA) 禁用且未随后重新激活。攻击者可能会禁用 Okta 用户账户的 MFA，以削弱该账户的身份验证要求。

规则类型: eql

规则索引:

filebeat-*
logs-okta.system*

严重性: 低

风险评分: 21

运行频率: 6 小时

搜索索引起始时间: now-12h (日期数学格式，另请参见 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

策略: 持久性
用例: 身份和访问审计
数据源: Okta
域: 云

版本: 412

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Okta 用户账户 MFA 禁用且未重新激活

MFA 用于为用户账户提供额外的安全层。攻击者可能会禁用 Okta 用户账户的 MFA 以实现持久性。

当 Okta 用户账户的 MFA 被禁用，且在 12 小时内未观察到后续 MFA 重新激活时，此规则会触发。

可能的调查步骤

通过查看警报中的 okta.actor.alternate_id 字段来识别与警报相关的行为者。这应该会给出被攻击的目标账户的用户名。
查看 okta.target 或 user.target.full_name 字段，以确定禁用是否由其他用户执行。
使用 okta.actor.alternate_id 字段，搜索 okta.event_type 为 user.mfa.factor.activate 的 MFA 重新激活事件。
查看 okta.event_type 为 user.authenticate* 的事件，以确定该用户账户是否有可疑的登录活动。
在 client.geo* 相关字段中找到的地理位置详细信息可能有助于确定此用户的登录活动是否可疑。

误报步骤

与目标用户确认 MFA 禁用是否是预期行为。
确定目标用户账户是否需要 MFA。

响应和补救

如果 MFA 禁用不是预期行为，请考虑禁用该用户
接下来应重置用户密码并重新启用 MFA。
如果 MFA 禁用是预期行为，请考虑在此规则中添加例外，以过滤误报。
调查攻击的来源。如果特定机器或网络受到攻击，可能需要采取额外的步骤来解决问题。
鼓励用户使用复杂、唯一的密码，并考虑实施多因素身份验证。
检查受攻击的帐户是否被用于访问或更改任何敏感数据、应用程序或系统。
查看客户端用户代理，以确定它是否是可加入白名单的已知自定义应用程序。

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

sequence by okta.actor.id with maxspan=12h
    [any where event.dataset == "okta.system" and okta.event_type in ("user.mfa.factor.deactivate", "user.mfa.factor.reset_all")
        and okta.outcome.reason != "User reset SECURITY_QUESTION factor" and okta.outcome.result == "SUCCESS"]
    ![any where event.dataset == "okta.system" and okta.event_type == "user.mfa.factor.activate"]

框架: MITRE ATT&CK^TM

策略
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 修改身份验证过程
- ID: T1556
- 参考 URL: https://attack.mitre.org/techniques/T1556/
子技术
- 名称: 多因素身份验证
- ID: T1556.006
- 参考 URL: https://attack.mitre.org/techniques/T1556/006/

« 本地计划任务创建 Google Workspace 组织 MFA 禁用 »