检测到新的 Okta 身份验证行为
编辑检测到新的 Okta 身份验证行为编辑
检测 Okta 行为检测识别出新的身份验证行为的事件。
规则类型: 查询
规则索引:
- filebeat-*
- logs-okta*
严重性: 中等
风险评分: 47
运行间隔: 15 分钟
搜索索引的时间范围: now-30m(日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://unit42.paloaltonetworks.com/muddled-libra/
- https://help.okta.com/oie/en-us/content/topics/security/behavior-detection/about-behavior-detection.htm
标签:
- 用例:身份和访问审计
- 策略:初始访问
- 数据源:Okta
版本: 1
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查检测到的新的 Okta 身份验证行为
此规则检测 Okta 行为检测识别出新的身份验证行为的事件,例如新设备或位置。
可能的调查步骤
- 通过检查
okta.actor.id、okta.actor.type、okta.actor.alternate_id和okta.actor.display_name字段来识别参与此操作的用户。 - 通过检查
okta.debug_context.debug_data.risk_behaviors和okta.debug_context.debug_data.flattened字段来确定身份验证异常。 - 确定参与者使用的客户端。查看
okta.client.ip、okta.client.user_agent.raw_user_agent、okta.client.zone、okta.client.device和okta.client.id字段。 - 如果客户端是设备,请检查
okta.device.id、okta.device.name、okta.device.os_platform、okta.device.os_version和okta.device.managed字段。 - 通过检查参与此操作的参与者的先前操作来查看其过去的活动。
- 检查
okta.request.ip_chain字段以潜在地确定参与者是否使用代理或 VPN 来执行此操作。 - 评估此事件前后在
okta.event_type字段中发生的操作,以帮助了解活动的完整上下文。
误报分析
- 用户可能正在使用新设备或位置登录。
- Okta 行为检测可能错误地识别了新的身份验证行为,需要调整。
响应和修复
- 如果用户是合法的并且身份验证行为没有可疑之处,则无需采取任何操作。
- 如果用户是合法的但身份验证行为可疑,请考虑重置用户的密码并启用多重身份验证 (MFA)。
- 如果已启用 MFA,请考虑为用户重置 MFA。
- 如果用户不合法,请考虑停用用户的帐户。
- 如果这是误报,请考虑调整 Okta 行为检测设置。
- 如果尝试中使用的 IP 地址或设备看起来可疑,请使用
okta.client.ip和okta.device.id字段中的数据阻止它们。 - 对 Okta 策略进行审查,并确保它们符合安全最佳实践。
设置编辑
Okta Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。
规则查询编辑
event.dataset:okta.system and okta.debug_context.debug_data.risk_behaviors:*
框架: MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/