单个 Okta 会话的多个设备令牌哈希
编辑单个 Okta 会话的多个设备令牌哈希编辑
当特定的 Okta 执行者在单个 Okta 会话中具有多个设备令牌哈希时,此规则会检测到。这可能表明已验证的会话已被劫持或正被多个设备使用。攻击者可能会劫持会话以获得对 Okta 管理控制台、应用程序、租户或其他资源的未经授权的访问。
规则类型: esql
规则索引: 无
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索的索引范围: now-9m(日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://support.okta.com/help/s/article/session-hijacking-attack-definition-damage-defense?language=en_US
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 战术:凭据访问
- 领域:SaaS
版本: 102
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查单个 Okta 会话的多个设备令牌哈希
当特定的 Okta 执行者在单个 Okta 会话中具有多个设备令牌哈希时,此规则会检测到。这可能表明已验证的会话已被劫持或正被多个设备使用。攻击者可能会劫持会话以获得对 Okta 管理控制台、应用程序、租户或其他资源的未经授权的访问。
可能的调查步骤
- 由于这是一个 ES|QL 规则,因此可以使用
okta.actor.alternate_id和okta.authentication_context.external_session_id值来透视到与此警报相关的原始身份验证事件。 - 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别参与此操作的用户。 - 通过分析
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段来确定用于这些操作的设备客户端。 - 确定 Okta 最终用户后,请查看
okta.debug_context.debug_data.dt_hash字段。 - 历史分析应表明此设备令牌哈希是否通常与该用户相关联。
- 查看
okta.event_type字段以确定发生的认证事件类型。 - 已过滤掉身份验证事件,以关注通过已建立的会话进行的 Okta 活动。
- 通过检查参与此操作的执行者之前的操作来查看其过去的活动。
- 评估此事件前后在
okta.event_type字段中发生的操作,以帮助了解活动的完整上下文。 - 这可能有助于确定用户、Okta 和应用程序之间发生的认证和授权操作。
- 按
okta.actor.alternate_id和event.action聚合,以确定参与此操作的执行者正在执行的操作类型。 - 如果报告的各种活动似乎表明来自不同用户的操作,请考虑暂时停用该用户的帐户。
误报分析
- 合法用户很少会在单个 Okta 会话中拥有多个设备令牌哈希,因为在建立经过身份验证的会话后,DT 哈希不会更改。
响应和修复
- 考虑停止参与此操作的所有用户的会话。
- 如果这似乎不是误报,请考虑重置相关用户的密码并启用多重身份验证 (MFA)。
- 如果已启用 MFA,请考虑为用户重置 MFA。
- 如果任何用户不是合法用户,请考虑停用该用户的帐户。
- 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
- 与内部 IT 团队联系,以确定所涉及的帐户最近是否应用户的要求重置了 MFA。
- 如果是这样,请与用户确认这是一个合法请求。
- 如果是这样,并且这不是合法请求,请考虑暂时停用该用户的帐户。
- 重置密码并为用户重置 MFA。
- 或者,将
okta.client.ip或 CIDR 范围添加到exceptions列表可以防止此事件在将来触发规则。 - 这应该谨慎行事,因为它可能会阻止生成合法的警报。
规则查询编辑
FROM logs-okta*
| WHERE
event.dataset == "okta.system"
// ignore authentication events where session and device token hash change often
AND NOT event.action IN (
"policy.evaluate_sign_on",
"user.session.start",
"user.authentication.sso"
)
// ignore Okta system events and only allow registered users
AND (
okta.actor.alternate_id != "[email protected]"
AND okta.actor.alternate_id RLIKE "[^@\\s]+\\@[^@\\s]+"
)
AND okta.authentication_context.external_session_id != "unknown"
| STATS
dt_hash_counts = COUNT_DISTINCT(okta.debug_context.debug_data.dt_hash) BY
okta.actor.alternate_id,
okta.authentication_context.external_session_id
| WHERE
dt_hash_counts >= 2
| SORT
dt_hash_counts DESC
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考链接:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取 Web 会话 Cookie
- ID:T1539
- 参考链接:https://attack.mitre.org/techniques/T1539/