« 尝试安装根证书 尝试修改 Okta 网络区域 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

尝试修改 Okta 应用程序

编辑

尝试修改 Okta 应用程序编辑

检测尝试修改 Okta 应用程序的行为。攻击者可能会尝试修改、停用或删除 Okta 应用程序,以削弱组织的安全控制或破坏其业务运营。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重程度:低

风险评分: 21

运行间隔:5 分钟

搜索索引范围:无(日期数学格式,另请参阅额外回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 用例:身份和访问审计
  • 数据源:Okta
  • 战术:影响

版本: 205

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容,需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:okta.system and event.action:application.lifecycle.update

框架:MITRE ATT&CKTM

« 尝试安装根证书 尝试修改 Okta 网络区域 »