尝试删除 Okta 策略
编辑尝试删除 Okta 策略编辑
检测尝试删除 Okta 策略的行为。攻击者可能会尝试删除 Okta 策略,以削弱组织的安全控制。例如,攻击者可能会尝试删除 Okta 多因素身份验证 (MFA) 策略,以降低用户帐户的身份验证要求。
规则类型:查询
规则索引:
- filebeat-*
- logs-okta*
严重程度:中等
风险评分: 47
运行频率:5 分钟
搜索索引的时间范围:无(日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 策略:防御规避
版本: 206
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查尝试删除 Okta 策略的行为
Okta 策略对于管理用户访问和在组织内实施安全控制至关重要。删除 Okta 策略可能会通过允许无限制访问或促进其他恶意活动来严重削弱组织的安全状况。
此规则检测尝试删除 Okta 策略的行为,这可能表明攻击者试图削弱组织的安全控制。攻击者可能会这样做以绕过安全障碍并进行进一步的恶意活动。
可能的调查步骤
- 通过查看警报中的
okta.actor.id、okta.actor.type、okta.actor.alternate_id或okta.actor.display_name字段来识别与警报相关的操作者。 - 查看
okta.client.user_agent.raw_user_agent字段,了解操作者使用的设备和软件。 - 检查
okta.outcome.reason字段,以获取有关删除尝试的其他上下文信息。 - 检查
okta.outcome.result字段以确认策略删除尝试。 - 检查是否存在来自同一操作者或 IP 地址 (
okta.client.ip) 的多个策略删除尝试。 - 检查策略删除尝试后是否立即成功登录。
- 验证操作者的活动是否与其典型行为一致,或者在删除尝试发生的时间前后是否存在任何异常活动。
误报分析
- 检查在删除尝试时 Okta 系统是否存在问题。这可能表明是系统错误而不是真正的威胁活动。
- 检查删除尝试的地理位置 (
okta.request.ip_chain.geographical_context) 和时间。如果这些与操作者的正常行为相符,则可能是误报。 - 验证操作者的管理权限,确保其配置正确。
响应和补救措施
- 如果确认未经授权删除策略,请启动事件响应流程。
- 立即锁定受影响的操作者帐户并要求更改密码。
- 考虑重置操作者的 MFA 令牌并要求重新注册。
- 检查受损帐户是否被用于访问或更改任何敏感数据或系统。
- 如果使用了特定的删除技术,请确保您的系统已打补丁或配置为防止此类技术。
- 评估受影响服务和服务器的关键程度。
- 与您的 IT 团队合作,最大程度地减少对用户的影响并保持业务连续性。
- 如果多个帐户受到影响,请考虑更广泛地重置或审核 MFA 令牌。
- 实施 Okta 概述 的安全最佳实践。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
要与此规则兼容,需要 Okta Fleet 集成、Filebeat 模块或类似的结构化数据。
规则查询编辑
event.dataset:okta.system and event.action:policy.lifecycle.delete
框架:MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:削弱防御
- ID:T1562
- 参考 URL:https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改云防火墙
- ID:T1562.007
- 参考 URL:https://attack.mitre.org/techniques/T1562/007/