« 检测到新的 Okta 身份验证行为 向 GitHub 组织添加了新用户 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

管理员添加了新的 Okta 身份提供商 (IdP)

编辑

管理员添加了新的 Okta 身份提供商 (IdP)

编辑

检测 Okta 中超级管理员或组织管理员创建新身份提供商 (IdP) 的行为。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性:中

风险评分: 47

运行频率:15 分钟

搜索索引的时间范围:now-30m(日期数学格式,另请参阅 额外回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 用例:身份和访问审计
  • 策略:持久化
  • 数据源:Okta

版本: 205

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南

编辑

事件分类和分析

调查管理员添加的新 Okta 身份提供商 (IdP)

此规则检测 Okta 中超级管理员或组织管理员创建新身份提供商 (IdP) 的行为。

可能的调查步骤

  • 通过检查 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与 IdP 创建相关的参与者。
  • 通过查看 okta.target 字段并确定此 IdP 是否已授权来识别添加的 IdP。
  • 确定参与者使用的客户端。查看 okta.client.ipokta.client.user_agent.raw_user_agentokta.client.zoneokta.client.deviceokta.client.id 字段。
  • 如果客户端是设备,请检查 okta.device.idokta.device.nameokta.device.os_platformokta.device.os_versionokta.device.managed 字段。
  • 通过检查 okta.target 字段中记录的参与者之前的操作,查看参与此操作的参与者的过去活动。
  • 检查 okta.request.ip_chain 字段,以确定参与者是否使用了代理或 VPN 来执行此操作。
  • 评估 okta.event_type 字段中此事件发生前后发生的操作,以帮助了解活动的完整上下文。

误报分析

  • 如果该操作是计划活动的一部分或由授权人员执行的,则可能是误报。
  • 在此成功之前多次尝试失败,可能表明攻击者试图多次添加未经授权的 IdP。

响应和补救

  • 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
  • 如果 IdP 已授权,请确保创建它的参与者已获得授权执行此操作。
  • 如果参与者未经授权,请通过 Okta 控制台停用他们的帐户。
  • 如果参与者已获得授权,请确保参与者的帐户没有被盗用。
  • 重置用户的密码并强制重新注册 MFA(如果适用)。
  • 如果尝试中使用的 IP 地址或设备看起来可疑,请使用 okta.client.ipokta.device.id 字段中的数据阻止它们。
  • 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
  • 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。

设置

编辑

此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。

规则查询

编辑
event.dataset: "okta.system" and event.action: "system.idp.lifecycle.create" and okta.outcome.result: "SUCCESS"

框架:MITRE ATT&CKTM

« 检测到新的 Okta 身份验证行为 向 GitHub 组织添加了新用户 »