Okta 用户报告的可疑活动
编辑Okta 用户报告的可疑活动编辑
检测到用户报告其 Okta 帐户存在可疑活动时。应调查这些事件,因为它们可以帮助安全团队识别对手尝试访问其网络的时间。
规则类型:查询
规则索引:
- filebeat-*
- logs-okta*
严重性:中等
风险评分: 47
每隔:5 分钟运行
从以下位置搜索索引:无(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:身份和访问审计
- 数据源:Okta
- 策略:初始访问
版本: 205
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
设置编辑
此规则要求 Okta Fleet 集成、Filebeat 模块或类似结构的数据与之兼容。
规则查询编辑
event.dataset:okta.system and event.action:user.account.report_suspicious_activity_by_enduser
框架:MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考 URL:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
策略
- 名称:持久性
- ID:TA0003
- 参考 URL:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/