通过第三方 IdP 进行的 Okta 登录事件
编辑通过第三方 IdP 进行的 Okta 登录事件
编辑检测通过第三方身份提供商 (IdP) 执行身份验证的登录事件。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中
风险评分: 47
运行频率: 15 分钟
搜索索引时间范围: now-30m (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大告警数量: 100
参考:
- https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 用例:身份和访问审计
- 策略:初始访问
- 数据源:Okta
版本: 206
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过第三方 IdP 进行的 Okta 登录事件
此规则检测通过第三方身份提供商 (IdP) 执行身份验证的登录事件。
攻击者可能会尝试将未经授权的 IdP 添加到 Okta 租户以获取对租户的访问权限。执行此操作后,攻击者可能会尝试使用未经授权的 IdP 登录租户。此规则检测到未经授权的 IdP 的添加以及随后的登录尝试。
可能的调查步骤
- 通过检查
okta.authentication_context.issuer.id字段来识别第三方 IdP。 - 一旦确定了第三方 IdP,请确定该 IdP 是否被授权由租户使用。
- 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
- 通过检查历史数据中的
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别与 IdP 创建相关的操作者。 管理员添加了新的 Okta 身份提供商 (IdP)规则可能有助于识别操作者和 IdP 创建事件。- 确定操作者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查在
okta.target字段中记录的先前操作,来查看参与此操作的操作者的过去活动。 - 检查
okta.request.ip_chain字段,以潜在地确定操作者是否使用了代理或 VPN 来执行此操作。 - 评估
okta.event_type字段中此事件前后发生的动作,以帮助理解活动的完整上下文。
误报分析
- 如果此 IdP 被授权由租户使用,则可能是误报。
- 如果使用授权的第三方 IdP 登录租户,但由于配置不正确而发生故障,则可能是误报。
响应和补救
- 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
- 重置受影响用户的密码并强制执行 MFA 重新注册(如果适用)。
- 可能需要进行移动设备取证,以确定用户的设备是否已被入侵。
- 如果 IdP 已获授权,请确保创建 IdP 的操作者也已获授权。
- 如果操作者未经授权,请通过 Okta 控制台将其帐户停用。
- 如果操作者已获授权,请确保操作者的帐户未被入侵。
- 如果尝试中使用的 IP 地址或设备看起来可疑,请使用来自
okta.client.ip和okta.device.id字段的数据将其阻止。 - 对 Okta 策略进行审查,并确保其符合安全最佳实践。
- 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。
设置
编辑此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。
规则查询
编辑event.dataset:okta.system and okta.debug_context.debug_data.request_uri:/oauth2/v1/authorize/callback and
(not okta.authentication_context.issuer.id:Okta and event.action:(user.authentication.auth_via_IDP
or user.authentication.auth_via_inbound_SAML
or user.authentication.auth_via_mfa
or user.authentication.auth_via_social)
or event.action:user.session.start) or
(event.action:user.authentication.auth_via_IDP and okta.outcome.result:FAILURE
and okta.outcome.reason:("A SAML assert with the same ID has already been processed by Okta for a previous request"
or "Unable to match transformed username"
or "Unable to resolve IdP endpoint"
or "Unable to validate SAML Response"
or "Unable to validate incoming SAML Assertion"))
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:受信任的关系
- ID: T1199
- 参考 URL: https://attack.mitre.org/techniques/T1199/