Okta FastPass 网络钓鱼检测

编辑

Okta FastPass 网络钓鱼检测

编辑

检测 Okta FastPass 何时阻止用户在网络钓鱼网站进行身份验证。

规则类型: 查询

规则索引:

filebeat-*
logs-okta*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: 无 (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

战术：初始访问
用例：身份和访问审计
数据源：Okta

版本: 307

规则作者:

Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

此规则要求 Okta 启用以下设置

Okta Identity Engine - 在管理控制台中的“设置”>“功能”下选择“FastPass 的防网络钓鱼”。

规则查询

编辑

event.dataset:okta.system and event.category:authentication and
  okta.event_type:user.authentication.auth_via_mfa and event.outcome:failure and okta.outcome.reason:"FastPass declined phishing attempt"

框架: MITRE ATT&CK^TM

战术
- 名称：初始访问
- ID：TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/

« Okta 暴力破解或密码喷洒攻击通过第三方 IdP 的 Okta 登录事件 »