单个 Okta 会话的多个设备令牌哈希
编辑单个 Okta 会话的多个设备令牌哈希
编辑此规则检测当特定 Okta 参与者在单个 Okta 会话中拥有多个设备令牌哈希时。这可能表明已验证的会话已被劫持或正在被多个设备使用。攻击者可能会劫持会话以获得对 Okta 管理控制台、应用程序、租户或其他资源的未授权访问权限。
规则类型: esql
规则索引: 无
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间
)
每次执行的最大警报数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://support.okta.com/help/s/article/session-hijacking-attack-definition-damage-defense?language=en_US
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 战术:凭据访问
- 领域:SaaS
版本: 304
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查单个 Okta 会话的多个设备令牌哈希
此规则检测当特定 Okta 参与者在单个 Okta 会话中拥有多个设备令牌哈希时。这可能表明已验证的会话已被劫持或正在被多个设备使用。攻击者可能会劫持会话以获得对 Okta 管理控制台、应用程序、租户或其他资源的未授权访问权限。
可能的调查步骤
- 由于这是一个 ES|QL 规则,因此可以使用
okta.actor.alternate_id
和okta.authentication_context.external_session_id
值透视与此警报相关的原始身份验证事件。 - 通过检查
okta.actor.id
、okta.actor.type
、okta.actor.alternate_id
和okta.actor.display_name
字段,确定参与此操作的用户。 - 通过分析
okta.client.ip
、okta.client.user_agent.raw_user_agent
、okta.client.zone
、okta.client.device
和okta.client.id
字段,确定用于这些操作的设备客户端。 - 确定 Okta 最终用户后,请查看
okta.debug_context.debug_data.dt_hash
字段。 - 历史分析应指示此设备令牌哈希是否通常与该用户关联。
- 查看
okta.event_type
字段以确定发生的身份验证事件类型。 - 已过滤掉身份验证事件,以专注于通过已建立的会话进行的 Okta 活动。
- 通过检查参与此操作的参与者之前的操作来查看他们的历史活动。
- 评估
okta.event_type
字段中此事件发生之前和之后的操作,以帮助了解活动的完整上下文。 - 这可能有助于确定用户、Okta 和应用程序之间发生的身份验证和授权操作。
- 按
okta.actor.alternate_id
和event.action
聚合,以确定参与此操作的参与者正在执行的操作类型。 - 如果报告的各种活动似乎表明来自不同用户的操作,请考虑暂时停用用户的帐户。
误报分析
- 合法用户在单个 Okta 会话中拥有多个设备令牌哈希的情况非常罕见,因为 DT 哈希在建立经过身份验证的会话后不会更改。
响应和补救
- 考虑停止参与此操作的用户的所有会话。
- 如果这看起来不是误报,请考虑重置相关用户的密码并启用多因素身份验证 (MFA)。
- 如果已启用 MFA,请考虑为用户重置 MFA。
- 如果有任何用户不合法,请考虑停用用户的帐户。
- 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
- 与内部 IT 团队核实,以确定所涉及的帐户最近是否应用户请求重置了 MFA。
- 如果是,请与用户确认这是一个合法请求。
- 如果是,并且这不是合法请求,请考虑暂时停用用户的帐户。
- 重置用户的密码和 MFA。
- 或者,将
okta.client.ip
或 CIDR 范围添加到exceptions
列表可以防止将来发生此事件触发规则。 - 应谨慎执行此操作,因为它可能会阻止生成合法警报。
规则查询
编辑FROM logs-okta* | WHERE event.dataset == "okta.system" // ignore authentication events where session and device token hash change often AND NOT event.action IN ( "policy.evaluate_sign_on", "user.session.start", "user.authentication.sso" ) // ignore Okta system events and only allow registered users AND ( okta.actor.alternate_id != "[email protected]" AND okta.actor.alternate_id RLIKE "[^@\\s]+\\@[^@\\s]+" ) AND okta.authentication_context.external_session_id != "unknown" | KEEP event.action, okta.actor.alternate_id, okta.authentication_context.external_session_id, okta.debug_context.debug_data.dt_hash | STATS dt_hash_counts = COUNT_DISTINCT(okta.debug_context.debug_data.dt_hash) BY okta.actor.alternate_id, okta.authentication_context.external_session_id | WHERE dt_hash_counts >= 2 | SORT dt_hash_counts DESC
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取 Web 会话 Cookie
- ID:T1539
- 参考 URL:https://attack.mitre.org/techniques/T1539/