Okta 暴力破解或密码喷洒攻击
编辑Okta 暴力破解或密码喷洒攻击
编辑识别来自单个 IP 地址的大量 Okta 用户身份验证失败尝试,这可能表明存在暴力破解或密码喷洒攻击。攻击者可能会尝试暴力破解或密码喷洒攻击,以获取对用户帐户的未授权访问权限。
规则类型: 阈值
规则索引:
- filebeat-*
- logs-okta*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例: 身份和访问审计
- 策略: 凭据访问
- 数据源: Okta
版本: 412
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑初步评估和分析
调查 Okta 暴力破解或密码喷洒攻击
当来自单个 IP 地址的 Okta 用户身份验证失败尝试次数过多时,此规则会发出警报。这可能表明存在暴力破解或密码喷洒攻击,攻击者可能试图通过猜测密码来获得对用户帐户的未授权访问权限。
可能的调查步骤
- 查看
source.ip字段,以识别大量失败登录尝试的来源 IP 地址。 - 查看
event.outcome字段,以验证这些是否确实是身份验证失败的尝试。 - 确定与这些失败的登录尝试相关的
user.name或user.email。如果尝试分散在多个帐户中,则可能表示密码喷洒攻击。 - 检查事件的时间线。失败的尝试是均匀分布的,还是存在爆发期,这可能表明存在自动化工具?
- 确定源 IP 的地理位置。此位置是否与用户典型的登录位置一致?
- 分析此 IP 之前任何成功的登录。此 IP 之前是否与成功的登录相关联?
误报分析
- 单个用户或自动化进程多次尝试使用过期或错误的凭据进行身份验证可能会触发误报。
- 分析源 IP 的行为。如果 IP 与合法用户或服务相关联,则可能是误报。
响应和补救
- 如果识别出未经授权的访问尝试,请考虑在防火墙级别阻止源 IP。
- 通知遭受攻击的用户。要求他们更改密码,并确保他们使用唯一且复杂的密码。
- 增强对受影响用户帐户的监控,以查找任何可疑活动。
- 如果攻击持续存在,请考虑在一定次数的登录尝试失败后实施 CAPTCHA 或帐户锁定。
- 如果攻击持续存在,请考虑为受影响的用户帐户实施多因素身份验证 (MFA)。
- 根据事件的调查结果审查和更新您的安全策略。
设置
编辑需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:okta.system and event.category:authentication and event.outcome:failure
框架: MITRE ATT&CKTM
-
策略
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 暴力破解
- ID: T1110
- 参考 URL: https://attack.mitre.org/techniques/T1110/