« 尝试修改 Okta 策略 尝试通过命令行挂载 SMB 共享 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

尝试修改 Okta 策略规则

编辑

尝试修改 Okta 策略规则编辑

检测尝试修改 Okta 策略中规则的行为。攻击者可能会尝试修改 Okta 策略规则,以削弱组织的安全控制。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重程度:低

风险评分: 21

运行频率:5 分钟

搜索索引范围:无(日期数学格式,另请参阅额外的回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 用例:身份和访问审计
  • 策略:防御规避
  • 数据源:Okta

版本: 207

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查尝试修改 Okta 策略规则的行为

修改 Okta 策略规则可能表示恶意活动,因为其目的可能是削弱组织的安全控制。

可能的调查步骤

  • 通过查看警报中的 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段来识别与警报相关的参与者。
  • 查看 okta.client.user_agent.raw_user_agent 字段,以了解参与者使用的设备和软件。
  • 检查 okta.outcome.reason 字段,以获取有关修改尝试的更多上下文信息。
  • 检查 okta.outcome.result 字段,以确认规则修改尝试。
  • 检查是否有多次来自同一参与者或 IP 地址(okta.client.ip)的规则修改尝试。
  • 检查修改尝试后是否有成功的登录。
  • 验证参与者的活动是否与其典型行为一致,或者在修改尝试的时间前后是否有任何异常活动发生。

误报分析

  • 检查在修改尝试时 Okta 系统是否存在问题。这可能表示系统错误,而不是真正的威胁活动。
  • 检查修改尝试的地理位置(okta.request.ip_chain.geographical_context)和时间。如果这些与参与者的正常行为相符,则可能是误报。
  • 验证参与者的管理权限,确保其配置正确。

响应和修复

  • 如果确认未经授权的修改,请启动事件响应流程。
  • 立即锁定受影响的参与者帐户,并要求更改密码。
  • 考虑为参与者重置 MFA 令牌,并要求重新注册。
  • 检查受损帐户是否被用于访问或更改任何敏感数据或系统。
  • 如果使用了特定的修改技术,请确保您的系统已打补丁或配置为阻止此类技术。
  • 评估受影响服务和服务器的关键程度。
  • 与您的 IT 团队合作,最大限度地减少对用户的影响,并保持业务连续性。
  • 如果多个帐户受到影响,请考虑更广泛地重置或审计 MFA 令牌。
  • 实施 Okta 概述的安全最佳实践。
  • 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

要与此规则兼容,需要 Okta Fleet 集编、Filebeat 模块或结构相似的数据。

规则查询编辑

event.dataset:okta.system and event.action:policy.rule.update

框架:MITRE ATT&CKTM

« 尝试修改 Okta 策略 尝试通过命令行挂载 SMB 共享 »