公共应用程序 OAuth2 令牌授予的未授权范围(使用客户端凭据)
编辑公共应用程序 OAuth2 令牌授予的未授权范围(使用客户端凭据)
编辑识别使用客户端凭据的公共客户端应用程序的 OAuth 2.0 令牌授予尝试失败事件。当公共客户端应用程序尝试将客户端凭据授予交换为 OAuth 2.0 访问令牌时,如果由于缺少必需的作用域而拒绝请求,则会生成此事件。这可能表明客户端凭据已泄露,攻击者正尝试获取未授权作用域的访问令牌。这是一个 [新术语](https://elastic.ac.cn/guide/en/security/master/rules-ui-create.html#create-new-terms-rule) 规则,其中 okta.actor.display_name 字段值在过去 14 天内未在此事件中出现过。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-okta*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参见 额外的回溯时间)
每次执行的最大警报数: 100
参考资料:
- https://github.blog/news-insights/company-news/security-alert-stolen-oauth-user-tokens/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 域: SaaS
- 数据源: Okta
- 用例: 威胁检测
- 用例: 身份和访问审计
- 战术: 防御规避
版本: 205
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑event.dataset: okta.system
and event.action: "app.oauth2.as.token.grant"
and okta.actor.type: "PublicClientApp"
and okta.debug_context.debug_data.flattened.grantType: "client_credentials"
and okta.outcome.result: "FAILURE"
and not okta.client.user_agent.raw_user_agent: "Okta-Integrations"
and not okta.actor.display_name: (Okta* or Datadog)
and not okta.debug_context.debug_data.flattened.requestedScopes: ("okta.logs.read" or "okta.eventHooks.read" or "okta.inlineHooks.read")
and okta.outcome.reason: "no_matching_scope"
框架: MITRE ATT&CKTM
-
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 使用备用身份验证材料
- ID: T1550
- 参考 URL: https://attack.mitre.org/techniques/T1550/
-
子技术
- 名称: 应用程序访问令牌
- ID: T1550.001
- 参考 URL: https://attack.mitre.org/techniques/T1550/001/