« 大量 Okta 设备令牌 Cookie 用于身份验证 进程终止次数过多 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

Okta 用户密码重置或解锁尝试次数过多

编辑

Okta 用户密码重置或解锁尝试次数过多

编辑

识别 Okta 用户密码重置或帐户解锁尝试次数过多。攻击者可能会尝试使用这些方法来获取对 Okta 用户帐户的未经授权的访问权限,并试图融入目标环境中的正常活动并逃避检测。

规则类型: 阈值

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-60m ( Date Math 格式,另请参阅 Additional look-back time)

每次执行的最大警报数: 100

参考:

标签:

  • 用例: 身份和访问审计
  • 数据源: Okta
  • 策略: 防御规避

版本: 412

规则作者:

  • Elastic
  • @BenB196
  • Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Okta 用户密码重置或解锁尝试次数过多

此规则旨在检测 Okta 中可疑的密码重置或帐户解锁尝试次数过多。 过多的密码重置或帐户解锁可能表明攻击者试图获取对帐户的未经授权的访问权限。

可能的调查步骤

  • 识别与过度尝试相关的参与者。 可以使用 okta.actor.alternate_id 字段来达到此目的。
  • 确定参与者使用的客户端。 您可以查看 okta.client.deviceokta.client.ipokta.client.user_agent.raw_user_agentokta.client.ip_chain.ipokta.client.geographical_context
  • 查看 okta.outcome.resultokta.outcome.reason 字段,以了解密码重置或解锁尝试的结果。
  • 查看与这些尝试相关的事件操作。 查看 event.action 字段,并筛选与密码重置和帐户解锁尝试相关的操作。
  • 检查来自同一参与者或 IP 地址的其他类似行为模式。 如果在密码重置或解锁尝试之前有大量的登录失败尝试,则可能表明是暴力攻击。
  • 此外,请查看进行这些尝试的时间。 如果这些尝试是在非工作时间进行的,则可能进一步表明是攻击者的活动。

误报分析

  • 如果密码重置或解锁尝试次数过多有合法原因,则此警报可能是误报。 这可能是由于用户忘记密码或因尝试次数过多而导致帐户被锁定。
  • 检查参与者过去的行为。 如果这是他们通常的行为,并且他们有正当理由,那么这可能是误报。

响应和补救

  • 如果确认了未经授权的尝试,请启动事件响应流程。
  • 重置用户密码并强制重新注册 MFA(如果适用)。
  • 阻止尝试中使用的 IP 地址或设备(如果它们看起来可疑)。
  • 如果攻击是通过特定技术实现的,请确保您的系统已修补或配置为防止此类技术。
  • 考虑对您的 Okta 策略和规则进行安全审查,以确保它们遵循安全最佳实践。

设置

编辑

此规则需要 Okta Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。

规则查询

编辑
event.dataset:okta.system and
  event.action:(system.email.account_unlock.sent_message or system.email.password_reset.sent_message or
                system.sms.send_account_unlock_message or system.sms.send_password_reset_message or
                system.voice.send_account_unlock_call or system.voice.send_password_reset_call or
                user.account.unlock_token)

框架: MITRE ATT&CKTM

« 大量 Okta 设备令牌 Cookie 用于身份验证 进程终止次数过多 »