代理后面具有相同设备令牌哈希的多个 Okta 用户身份验证事件
编辑代理后面具有相同设备令牌哈希的多个 Okta 用户身份验证事件编辑
检测到代理后面为多个用户报告了具有相同设备令牌哈希的 Okta 用户身份验证事件。
规则类型: 阈值
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
每隔: 5m
从以下时间开始搜索索引: now-9m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 策略:凭证访问
版本: 2
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查代理后面具有相同设备令牌哈希的多个 Okta 用户身份验证事件
此规则检测到当 Okta 用户认证事件针对使用代理的同一设备令牌哈希报告给多个用户时的情况。这可能表明用户之间共享设备,或用户正在使用代理访问多个帐户以进行密码喷洒。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别参与此操作的用户。 - 通过分析
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段来确定用于这些操作的设备客户端。 - 由于设备位于代理之后,
okta.client.ip字段对于确定实际设备 IP 地址没有用。 - 查看
okta.request.ip_chain字段以获取有关代理地理位置的更多信息。 - 在确定 Okta 最终用户后,查看
okta.debug_context.debug_data.dt_hash字段。 - 历史分析应表明此设备令牌哈希是否通常与用户相关联。
- 查看
okta.event_type字段以确定发生的认证事件类型。 - 如果事件类型为
user.authentication.sso,则用户可能出于安全或隐私原因通过代理合法地启动会话。 - 如果事件类型为
user.authentication.password,则用户可能正在使用代理访问多个帐户以进行密码喷洒。 - 检查
okta.outcome.result字段以确定认证是否成功。 - 通过检查参与此操作的参与者的过去活动来查看他们的过去活动。
- 评估在
okta.event_type字段中此事件之前和之后发生的活动,以帮助理解活动的全部内容。 - 这可能有助于确定用户、Okta 和应用程序之间发生的认证和授权操作。
误报分析
- 用户可能出于安全或隐私原因通过代理合法地启动会话。
- 用户可能共享与工作或个人用途相关联的端点,其中使用单独的 Okta 帐户。
- 从架构上讲,此共享端点可能出于安全或隐私原因利用代理。
- 自助服务终端和会议室电脑等共享系统可能由多个用户使用。
- 共享工作空间可能有一个由多个用户使用的单一端点。
响应和补救
- 查看参与此操作的用户个人资料,以确定是否可能使用代理。
- 如果用户合法,并且根据设备分析,身份验证行为并不可疑,则无需采取任何措施。
- 如果用户合法,但身份验证行为可疑,请考虑重置涉及用户的密码并启用多重身份验证 (MFA)。
- 如果已启用 MFA,请考虑为用户重置 MFA。
- 如果任何用户不合法,请考虑停用该用户的帐户。
- 审查 Okta 政策并确保它们符合安全最佳实践。
- 与内部 IT 团队联系,以确定相关帐户是否最近应用户请求重置了 MFA。
- 如果是,请向用户确认这是一个合法请求。
- 如果是,但这不是一个合法请求,请考虑暂时停用该用户的帐户。
- 重置密码并为用户重置 MFA。
- 如果这是误报,请考虑将
okta.debug_context.debug_data.dt_hash字段添加到规则中的exceptions列表。 - 这将防止此设备的此事件的未来发生触发规则。
设置编辑
Okta Fleet 集成、Filebeat 模块或类似结构的数据必须与此规则兼容。
规则查询编辑
event.dataset:okta.system
and not okta.actor.id:okta* and okta.debug_context.debug_data.dt_hash:*
and okta.event_type:user.authentication* and okta.security_context.is_proxy:true
框架:MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考 URL:https://attack.mitre.org/techniques/T1110/
-
子技术
- 名称:密码喷洒
- ID:T1110.003
- 参考 URL:https://attack.mitre.org/techniques/T1110/003/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考 URL:https://attack.mitre.org/techniques/T1110/
-
子技术
- 名称:凭据填充
- ID:T1110.004
- 参考 URL:https://attack.mitre.org/techniques/T1110/004/