针对 Okta 用户帐户停用多因素身份验证 (MFA) 且未重新激活
编辑针对 Okta 用户帐户停用多因素身份验证 (MFA) 且未重新激活编辑
检测到 Okta 用户帐户的多因素身份验证 (MFA) 已停用,但随后未重新激活。攻击者可能会停用 Okta 用户帐户的 MFA,以便降低帐户的身份验证要求。
规则类型: eql
规则索引:
- filebeat-*
- logs-okta.system*
严重性: 低
风险评分: 21
运行间隔: 6 小时
搜索以下时间段内的索引: now-12h(日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 策略:持久化
- 用例:身份和访问审计
- 数据源:Okta
- 域:云
版本: 207
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查针对 Okta 用户帐户停用 MFA 且未重新激活的情况
MFA 用于为用户帐户提供额外的安全层。攻击者可能会停用 Okta 用户帐户的 MFA 以实现持久化。
当 Okta 用户帐户的 MFA 已停用并且在 12 小时内未观察到后续 MFA 重新激活时,将触发此规则。
可能的调查步骤
- 通过查看警报中的
okta.actor.alternate_id字段来识别与警报相关的操作者。这应该会给出目标帐户的用户名。 - 查看
okta.target或user.target.full_name字段,以确定停用操作是否由其他用户执行。 - 使用
okta.actor.alternate_id字段,搜索okta.event_type为user.mfa.factor.activate的 MFA 重新激活事件。 - 查看
okta.event_type为user.authenticate*的事件,以确定用户帐户是否存在可疑登录活动。 client.geo*相关字段中的地理位置详细信息可能有助于确定登录活动对于此用户而言是否可疑。
误报步骤
- 与目标用户确认 MFA 停用是否是预期的。
- 确定目标用户帐户是否需要 MFA。
响应和修复
- 如果 MFA 停用不是预期的,请考虑停用该用户
- 之后应重置用户的密码并重新启用 MFA。
- 如果 MFA 停用是预期的,请考虑为此规则添加例外以过滤误报。
- 调查攻击来源。如果特定计算机或网络遭到入侵,则可能需要采取其他步骤来解决该问题。
- 鼓励用户使用复杂、唯一的密码,并考虑实施多因素身份验证。
- 检查受损帐户是否用于访问或更改任何敏感数据、应用程序或系统。
设置编辑
要与此规则兼容,需要 Okta Fleet 集成、Filebeat 模块或结构相似的数据。
规则查询编辑
sequence by okta.actor.id with maxspan=12h
[any where event.dataset == "okta.system" and okta.event_type == "user.mfa.factor.deactivate"
and okta.outcome.result == "SUCCESS" and not okta.client.user_agent.raw_user_agent like "SFDC-Callout*"]
![any where event.dataset == "okta.system" and okta.event_type == "user.mfa.factor.activate"]
框架: MITRE ATT&CKTM
-
策略
- 名称:持久化
- ID:TA0003
- 参考 URL:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:修改身份验证过程
- ID:T1556
- 参考 URL:https://attack.mitre.org/techniques/T1556/
-
子技术
- 名称:多因素身份验证
- ID:T1556.006
- 参考 URL:https://attack.mitre.org/techniques/T1556/006/