› › ›

来自罕见未知客户端设备的成功应用程序 SSO

检测来自无法识别或“未知”客户端设备（由用户代理字符串标识）对 Okta 应用程序的成功单点登录 (SSO) 事件。此活动可能表明 Okta Classic Engine 中存在漏洞，该漏洞可能允许攻击者绕过特定于应用程序的登录策略，例如设备或网络限制。此漏洞可能仅使用有效的、被盗的凭据即可实现对应用程序的未经授权的访问，而无需其他身份验证因素。

规则类型: new_terms

规则索引:

filebeat-*
logs-okta*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围从: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

标签:

域: SaaS
数据源: Okta
用例: 威胁检测
用例: 身份和访问审计
战术: 初始访问

版本: 204

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

event.dataset: "okta.system"
    and event.action: "user.authentication.sso"
    and event.outcome: "success"
    and okta.client.device: ("Unknown" or "unknown")

框架: MITRE ATT&CK^TM

战术
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 有效账户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/

« Sublime 插件或应用程序脚本修改检测到 Sudo 命令枚举 »