检测到新的 Okta 身份验证行为
编辑检测到新的 Okta 身份验证行为
编辑检测 Okta 行为检测识别到新的身份验证行为的事件。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中
风险评分: 47
运行频率: 15 分钟
搜索索引时间范围: now-30m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://help.okta.com/oie/en-us/content/topics/security/behavior-detection/about-behavior-detection.htm
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 策略:初始访问
- 数据源:Okta
版本: 206
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查检测到的新的 Okta 身份验证行为
此规则检测 Okta 行为检测识别到新的身份验证行为(例如新设备或位置)的事件。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段,确定参与此操作的用户。 - 通过检查
okta.debug_context.debug_data.risk_behaviors和okta.debug_context.debug_data.flattened字段,确定身份验证异常。 - 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查参与此操作的参与者的先前操作,查看其过去的活动。
- 检查
okta.request.ip_chain字段,以确定参与者是否使用了代理或 VPN 执行此操作。 - 评估
okta.event_type字段中此事件前后发生的动作,以帮助了解活动的完整上下文。
误报分析
- 用户可能正在使用新的设备或位置登录。
- Okta 行为检测可能错误地识别了新的身份验证行为,需要进行调整。
响应和补救
- 如果用户是合法的并且身份验证行为没有可疑之处,则无需采取任何措施。
- 如果用户是合法的但身份验证行为可疑,请考虑重置用户的密码并启用多因素身份验证 (MFA)。
- 如果已启用 MFA,请考虑重置用户的 MFA。
- 如果用户不合法,请考虑停用用户的帐户。
- 如果这是一个误报,请考虑调整 Okta 行为检测设置。
- 如果 IP 地址或设备在尝试中看起来可疑,请使用
okta.client.ip和okta.device.id字段中的数据阻止该 IP 地址或设备。 - 对 Okta 策略进行审查,并确保其符合安全最佳实践。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:okta.system and okta.debug_context.debug_data.risk_behaviors:*
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/