« 大量 Okta 设备令牌 Cookie 生成用于身份验证 大量进程终止 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

大量 Okta 用户密码重置或解锁尝试

编辑

大量 Okta 用户密码重置或解锁尝试编辑

识别大量 Okta 用户密码重置或帐户解锁尝试。攻击者可能会尝试使用这些方法获取对 Okta 用户帐户的未授权访问,并试图将其活动隐藏在目标环境的正常活动中以逃避检测。

规则类型:阈值

规则索引:

  • filebeat-*
  • logs-okta*

严重性:中等

风险评分: 47

运行频率:5 分钟

搜索索引的时间范围:now-60m(日期数学格式,另请参阅 其他回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 用例:身份和访问审计
  • 数据源:Okta
  • 策略:防御规避

版本: 208

规则作者:

  • Elastic
  • @BenB196
  • Austin Songer

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查大量 Okta 用户密码重置或解锁尝试

此规则旨在检测 Okta 中可疑的大量密码重置或帐户解锁尝试。过多的密码重置或帐户解锁可能表明攻击者试图获得对帐户的未授权访问。

可能的调查步骤

  • 识别与过度尝试相关的参与者。可以使用 okta.actor.alternate_id 字段来实现此目的。
  • 确定参与者使用的客户端。您可以查看 okta.client.deviceokta.client.ipokta.client.user_agent.raw_user_agentokta.client.ip_chain.ipokta.client.geographical_context
  • 查看 okta.outcome.resultokta.outcome.reason 字段,以了解密码重置或解锁尝试的结果。
  • 查看与这些尝试相关的事件操作。查看 event.action 字段,并筛选与密码重置和帐户解锁尝试相关的操作。
  • 检查来自同一参与者或 IP 地址的其他类似行为模式。如果在密码重置或解锁尝试之前有大量失败的登录尝试,则可能表明存在暴力破解攻击。
  • 另外,请查看进行这些尝试的时间。如果这些尝试是在非工作时间进行的,则可能进一步表明这是攻击者的活动。

误报分析

  • 如果大量密码重置或解锁尝试有正当理由,则此警报可能是误报。这可能是由于用户忘记了密码,或者由于尝试次数过多而导致帐户被锁定。
  • 检查参与者的过去行为。如果这是他们的常见行为,并且他们有正当理由,那么这可能是误报。

响应和修复

  • 如果确认存在未授权尝试,请启动事件响应流程。
  • 重置用户的密码并强制执行 MFA 重新注册(如果适用)。
  • 阻止尝试中使用的 IP 地址或设备(如果它们看起来可疑)。
  • 如果攻击是通过特定技术实现的,请确保您的系统已打补丁或配置为阻止此类技术。
  • 考虑对您的 Okta 策略和规则进行安全审查,以确保它们遵循安全最佳实践。

设置编辑

要与此规则兼容,需要使用 Okta Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:okta.system and
  event.action:(system.email.account_unlock.sent_message or system.email.password_reset.sent_message or
                system.sms.send_account_unlock_message or system.sms.send_password_reset_message or
                system.voice.send_account_unlock_call or system.voice.send_password_reset_call or
                user.account.unlock_token)

框架:MITRE ATT&CKTM

« 大量 Okta 设备令牌 Cookie 生成用于身份验证 大量进程终止 »