通过第三方 IdP 进行的 Okta 登录事件

编辑

通过第三方 IdP 进行的 Okta 登录事件

编辑

检测通过第三方身份提供商 (IdP) 执行身份验证的登录事件。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中

风险评分: 47

运行频率: 15 分钟

搜索索引时间范围: now-30m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数量: 100

参考:

标签:

  • 用例:身份和访问审计
  • 策略:初始访问
  • 数据源:Okta

版本: 206

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过第三方 IdP 进行的 Okta 登录事件

此规则检测通过第三方身份提供商 (IdP) 执行身份验证的登录事件。

攻击者可能会尝试将未经授权的 IdP 添加到 Okta 租户以获取对租户的访问权限。执行此操作后,攻击者可能会尝试使用未经授权的 IdP 登录租户。此规则检测到未经授权的 IdP 的添加以及随后的登录尝试。

可能的调查步骤

  • 通过检查 okta.authentication_context.issuer.id 字段来识别第三方 IdP。
  • 一旦确定了第三方 IdP,请确定该 IdP 是否被授权由租户使用。
  • 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
  • 通过检查历史数据中的 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与 IdP 创建相关的操作者。
  • 管理员添加了新的 Okta 身份提供商 (IdP) 规则可能有助于识别操作者和 IdP 创建事件。
  • 确定操作者使用的客户端。查看 okta.client.ipokta.client.user_agent.raw_user_agentokta.client.zoneokta.client.deviceokta.client.id 字段。
  • 如果客户端是设备,请检查 okta.device.idokta.device.nameokta.device.os_platformokta.device.os_versionokta.device.managed 字段。
  • 通过检查在 okta.target 字段中记录的先前操作,来查看参与此操作的操作者的过去活动。
  • 检查 okta.request.ip_chain 字段,以潜在地确定操作者是否使用了代理或 VPN 来执行此操作。
  • 评估 okta.event_type 字段中此事件前后发生的动作,以帮助理解活动的完整上下文。

误报分析

  • 如果此 IdP 被授权由租户使用,则可能是误报。
  • 如果使用授权的第三方 IdP 登录租户,但由于配置不正确而发生故障,则可能是误报。

响应和补救

  • 如果 IdP 未经授权,请立即通过 Okta 控制台将其停用。
  • 重置受影响用户的密码并强制执行 MFA 重新注册(如果适用)。
  • 可能需要进行移动设备取证,以确定用户的设备是否已被入侵。
  • 如果 IdP 已获授权,请确保创建 IdP 的操作者也已获授权。
  • 如果操作者未经授权,请通过 Okta 控制台将其帐户停用。
  • 如果操作者已获授权,请确保操作者的帐户未被入侵。
  • 如果尝试中使用的 IP 地址或设备看起来可疑,请使用来自 okta.client.ipokta.device.id 字段的数据将其阻止。
  • 对 Okta 策略进行审查,并确保其符合安全最佳实践。
  • 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。

设置

编辑

此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。

规则查询

编辑
event.dataset:okta.system and okta.debug_context.debug_data.request_uri:/oauth2/v1/authorize/callback and
    (not okta.authentication_context.issuer.id:Okta and event.action:(user.authentication.auth_via_IDP
        or user.authentication.auth_via_inbound_SAML
        or user.authentication.auth_via_mfa
        or user.authentication.auth_via_social)
        or event.action:user.session.start) or
    (event.action:user.authentication.auth_via_IDP and okta.outcome.result:FAILURE
        and okta.outcome.reason:("A SAML assert with the same ID has already been processed by Okta for a previous request"
            or "Unable to match transformed username"
            or "Unable to resolve IdP endpoint"
            or "Unable to validate SAML Response"
            or "Unable to validate incoming SAML Assertion"))

框架: MITRE ATT&CKTM