« 检测到新的 Okta 身份验证行为 新用户已添加到 GitHub 组织 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预置规则参考

管理员添加的新 Okta 身份提供程序 (IdP)

编辑

管理员添加的新 Okta 身份提供程序 (IdP)编辑

检测到 Okta 中超级管理员或组织管理员创建了新的身份提供程序 (IdP)。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性: 中等

风险评分: 47

每隔: 15 分钟运行一次

从以下时间开始搜索索引: now-30m(日期数学格式,另请参见 附加回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 用例:身份和访问审核
  • 策略:持久性
  • 数据源:Okta

版本: 1

规则作者:

  • Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

分类和分析

调查管理员添加的新 Okta 身份提供程序 (IdP)

此规则检测到 Okta 中超级管理员或组织管理员创建了新的身份提供程序 (IdP)。

可能的调查步骤

  • 通过检查 okta.actor.idokta.actor.typeokta.actor.alternate_idokta.actor.display_name 字段,识别与 IdP 创建关联的参与者。
  • 通过查看 okta.target 字段并确定此 IdP 是否经过授权,识别添加的 IdP。
  • 确定参与者使用的客户端。查看 okta.client.ipokta.client.user_agent.raw_user_agentokta.client.zoneokta.client.deviceokta.client.id 字段。
  • 如果客户端是设备,请检查 okta.device.idokta.device.nameokta.device.os_platformokta.device.os_versionokta.device.managed 字段。
  • 通过检查 okta.target 字段中记录的先前操作,查看参与此操作的参与者的过去活动。
  • 检查 okta.request.ip_chain 字段,以确定参与者是否使用代理或 VPN 执行此操作。
  • 评估 okta.event_type 字段中此事件前后发生的事件,以帮助了解活动的全部背景。

误报分析

  • 如果操作是计划活动的一部分或由授权人员执行,则可能是误报。
  • 在此成功之前多次尝试失败,可能表明攻击者多次尝试添加未经授权的 IdP。

响应和补救

  • 如果 IdP 未经授权,请通过 Okta 控制台立即停用它。
  • 如果 IdP 已授权,请确保创建它的参与者有权这样做。
  • 如果参与者未经授权,请通过 Okta 控制台停用其帐户。
  • 如果参与者已授权,请确保参与者的帐户未被入侵。
  • 重置用户的密码并强制重新注册 MFA(如果适用)。
  • 如果 okta.client.ipokta.device.id 字段中的数据显示可疑,请阻止尝试中使用的 IP 地址或设备。
  • 检查 Okta 策略并确保它们符合安全最佳实践。
  • 如果停用的 IdP 对组织至关重要,请考虑添加新的 IdP 并删除未经授权的 IdP。

设置编辑

Okta Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。

规则查询编辑

event.dataset: "okta.system" and event.action: "system.idp.lifecycle.create" and okta.outcome.result: "SUCCESS"

框架: MITRE ATT&CKTM

« 检测到新的 Okta 身份验证行为 新用户已添加到 GitHub 组织 »