« Okta 暴力破解或密码喷洒攻击 通过第三方 IdP 进行 Okta 登录事件 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

Okta FastPass 钓鱼检测

编辑

Okta FastPass 钓鱼检测编辑

检测 Okta FastPass 何时阻止用户验证到钓鱼网站。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-okta*

严重性:中等

风险评分: 47

运行间隔:5 分钟

搜索的索引范围:无(日期数学格式,另请参阅 额外回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 战术:初始访问
  • 用例:身份和访问审计
  • 数据源:Okta

版本: 103

规则作者:

  • Austin Songer

规则许可证:Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容,需要使用 Okta Fleet 集成、Filebeat 模块或类似结构的数据。

此规则要求 Okta 启用以下功能

Okta Identity Engine - 在管理控制台的“设置”>“功能”下选择“FastPass 的钓鱼防御”。

规则查询编辑

event.dataset:okta.system and event.category:authentication and
  okta.event_type:user.authentication.auth_via_mfa and event.outcome:failure and okta.outcome.reason:"FastPass declined phishing attempt"

框架:MITRE ATT&CKTM

« Okta 暴力破解或密码喷洒攻击 通过第三方 IdP 进行 Okta 登录事件 »