尝试修改 Okta 策略
编辑尝试修改 Okta 策略编辑
检测尝试修改 Okta 策略的行为。攻击者可能会尝试修改 Okta 策略,以削弱组织的安全控制。例如,攻击者可能会尝试修改 Okta 多重身份验证 (MFA) 策略,以降低用户帐户的身份验证要求。
规则类型:查询
规则索引:
- filebeat-*
- logs-okta*
严重性:低
风险评分: 21
运行频率:5 分钟
每次执行的最大警报数: 100
参考资料:
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 策略:防御规避
版本: 206
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查尝试修改 Okta 策略的行为
对 Okta 策略的修改可能表明有人试图削弱组织的安全控制。如果检测到此类尝试,请考虑以下调查步骤。
可能的调查步骤
- 识别与事件关联的参与者。检查以下字段:
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name。 - 确定参与者使用的客户端。您可以查看
okta.client.device、okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.ip_chain.ip和okta.client.geographical_context。 - 检查策略修改的性质。您可以查看
okta.target字段,尤其是okta.target.display_name和okta.target.id。 - 检查
okta.outcome.result和okta.outcome.reason字段,以了解修改尝试的结果。 - 检查在短时间内是否还有来自同一参与者或 IP 地址的其他类似修改尝试。
误报分析
- 如果您的组织中定期更新 Okta 策略是正常操作的一部分,则此警报可能是误报。
- 检查与事件关联的参与者是否具有修改 Okta 策略的合法权限。
- 验证参与者的地理位置和修改尝试的时间。如果这些与参与者的常规行为一致,则可能是误报。
响应和修复
- 如果确认未经授权的修改,请启动事件响应流程。
- 锁定参与者的帐户并强制更改密码作为立即响应。
- 重置参与者的 MFA 令牌并在适用时强制重新注册。
- 查看参与者采取的任何其他操作,以评估总体影响。
- 如果攻击是通过特定技术实现的,请确保您的系统已打补丁或配置为阻止此类技术。
- 考虑对您的 Okta 策略和规则进行安全审查,以确保它们遵循安全最佳实践。
设置编辑
Okta Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。
规则查询编辑
event.dataset:okta.system and event.action:policy.lifecycle.update
框架:MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:削弱防御
- ID:T1562
- 参考 URL:https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改云防火墙
- ID:T1562.007
- 参考 URL:https://attack.mitre.org/techniques/T1562/007/