Dorothy es una herramienta para probar la visibilidad y las capacidades de detección en el entorno Okta. Las soluciones de IAM suelen ser blanco de los adversarios, aunque están mal monitoreadas. Conoce los primeros pasos con Dorothy en este blog.

Cuando las personas interesadas en su organización se acercan a ellos, los equipos de seguridad pueden demostrar con confianza que las capacidades de logging y alertas están funcionando como se esperaba. Las organizaciones se han vuelto más distribuidas y dependientes de las ofertas de cloud para casos de uso, tales como la administración de identidades y accesos, la productividad de los usuarios y el almacenamiento de archivos. Mientras tanto, los adversarios han ampliado sus capacidades operativas en los entornos de cloud. Es crucial que los equipos de seguridad sean capaces de monitorear estos sistemas para detectar el mal uso y así proteger de los ataques los datos de su organización.
<a href="https://github.com/elastic/dorothy">Dorothy</a> es una herramienta gratuita y abierta para ayudar a los equipos de seguridad a probar su visibilidad y sus capacidades monitoreo y detección en entornos Okta con inicio de sesión único (SSO). Demostraremos cómo puede usarse Dorothy para ejecutar pruebas y cómo puede usarse <a href="/es/security">Elastic Security</a> para alertar sobre los comportamientos pertinentes y sospechosos mediante nuestras <a href="https://github.com/elastic/detection-rules/">reglas de detección gratuitas y abiertas</a>.
 <h2>¿Qué es el Okta SSO?</h2>Para quienes no la conozcan, <a href="https://www.okta.com/products/single-sign-on/">Okta SSO</a> es una solución de administración de identidades basada en cloud que permite a los usuarios autenticarse ante una variedad de sistemas y aplicaciones dentro de su organización con una sola cuenta de usuario. Informar a los usuarios finales que solo tienen que recordar un nombre de usuario y una contraseña en lugar de diez o más reduce el riesgo de que desarrollen malos hábitos de contraseña y permite a los administradores del sistema hacer cumplir políticas de contraseña más rigurosas. Además, se pueden configurar políticas de autenticación multifactor (MFA) en Okta, lo que aumenta la dificultad de ingreso de los atacantes. Varios de ellos seguirán simplemente su camino y buscarán un blanco más fácil cuando descubran que en la red o cuenta de usuario de su objetivo se aplica MFA.
Aunque las soluciones de SSO pueden ofrecer una experiencia de usuario conveniente y reducir los riesgos de ciberseguridad de una organización, estos sistemas centralizados ofrecen un tipo de esqueleto clave para muchos sistemas y aplicaciones, y son con frecuencia un blanco atractivo para los atacantes. Es crucial que los equipos de seguridad comprendan cómo se ve el comportamiento normal en su entorno Okta para que puedan identificar la actividad sospechosa con más facilidad.
 <h2>Conoce a Dorothy</h2><a href="https://github.com/elastic/dorothy">Dorothy</a> tiene más de 25 módulos para simular las acciones que un atacante puede emprender al operar en un entorno Okta y los comportamientos que los equipos de seguridad deben buscar al monitorear, detectar y sobre los cuales alertar. Todos los módulos están mapeados a las tácticas <a href="https://attack.mitre.org/"> MITRE ATT&CK®</a> pertinentes, tales como persistencia, evasión de la defensa, descubrimiento e impacto.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8eae61fb97d445e6/5fcbb9e859bd313bf83113fc/1-Dorothy-blog-listing-modules.png" data-sys-asset-uid="blt8eae61fb97d445e6" alt="1-Dorothy-blog-listing-modules.png" style="display: block; margin: auto">
<figcaption>Figura 1. Arranque de Dorothy y listado de sus módulos</figcaption>Dorothy se creó para ayudar a los defensores a probar su visibilidad y controles de seguridad y no proporciona ningún módulo para obtener acceso inicial ni escalar privilegios en un entorno Okta. Para ejecutar acciones con Dorothy es necesario un token de API de Okta válido que está vinculado al usuario con uno o más roles de administrador asignados.
Para navegar entre menús y módulos se proporciona una interfaz shell fácil de usar con ayuda contextual, que ayuda a guiar al usuario por los escenarios simulados con intrusos. Otras características son los perfiles de configuración para administrar las conexiones a entornos Okta individuales y el logging detallado con la opción de eventos de indexación en Elasticsearch para facilitar una pista de auditoría de las acciones que se ejecutaron con Dorothy.
 <h2>Ejecución de acciones en un entorno Okta con Dorothy</h2>En esta sección, demostraremos cómo ejecutar algunos de los módulos de Dorothy en un entorno Okta. En la Figura 2 a continuación se muestra un flujo de trabajo habitual para un usuario de Elastic Security. Después de esta demostración, deberás sentirte cómodo para dirigirte al repositorio de GitHub sobre Dorothy y seguir los "Primeros pasos" en la <a href="https://github.com/elastic/dorothy/wiki">wiki</a> del proyecto.
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt005b0e7a6479bf43/5fcbba02e5f85744d50f1a57/2-Dorothy-blog-example_workflow.png" data-sys-asset-uid="blt005b0e7a6479bf43" alt="2-Dorothy-blog-example_workflow.png" redactor"="" style="display: block; margin: auto data-verified=">
<figcaption>Figura 2. Ejemplo de flujo de trabajo para ejecutar acciones en un entorno Okta con Dorothy</figcaption> 
<h3>whoami?</h3>Pongámonos en el lugar de un atacante y pensemos en qué acciones emprendería mientras opera en un entorno Okta. Como atacante con una posición inicial establecida, lo primero que me preguntaré es de cuál usuario tengo un token de API. Simulemos la acción de este atacante a través del comando <code>whoami</code> de Dorothy para ver la ID de inicio de sesión, la última hora de inicio de sesión y el último cambio de contraseña del usuario asociado.
Ahora que tenemos una mejor comprensión de la cuenta de usuario de la que tenemos control, enlistaremos los módulos de Dorothy y verificaremos el menú de ayuda antes de nuestro siguiente movimiento.
<div class=" video=" "="" embed-container"="">
	<img class="vidyard-player-embed" src="https://play.vidyard.com/iG2cr4pHfUSwwVyk3paivS.jpg" data-uuid="iG2cr4pHfUSwwVyk3paivS" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	<figcaption>Figura 3. Ejecución del comando whoami y los módulos de lista de Dorothy </figcaption>
	<h3>Descubrimiento</h3>
	Dorothy cuenta con varios módulos de descubrimiento que podemos usar para simular el conocimiento que un atacante puede obtener acerca de un entorno Okta. Los adversarios con frecuencia pasarán tiempo conociendo los detalles de un entorno después de obtener el acceso inicial, detalles que son esenciales para guiarse antes de planificar sus pasos siguientes.
	
	Probemos a obtener algún conocimiento sobre el entorno Okta al recopilar la siguiente información:
	
	<ul>
		<li>Usuarios: una lista con los nombres, las ID de inicio de sesión, las direcciones de correo electrónico, las preguntas de recuperación de contraseña y el estado de cada usuario será útil al elegir las cuentas que se van a controlar, modificar o dejar intactas para evitar la detección.</li>
		<li>Políticas: <a href="https://help.okta.com/en/prod/Content/Topics/Security/Security_Policies.htm">las políticas de Okta</a> se usan para controlar elementos de seguridad, entre ellos la complejidad de las contraseñas y los requisitos de MFA, así como los dispositivos que los usuarios tienen permitido usar. Este conocimiento resulta útil si decidimos debilitar algunos componentes de la configuración de seguridad del objetivo</li>
		<li>Zonas: las <a href="https://help.okta.com/en/prod/Content/Topics/Security/network/network-zones.htm">zonas de red</a> pueden usarse para definir perímetros de seguridad para un entorno Okta. Al igual que con las políticas, esta información nos ayuda a saber cómo está configurado el entorno y a tomar decisiones con más fundamento antes de implementar cambios en la forma de permitir o bloquear el tráfico.</li>
	</ul>
	Finalmente, ejecutaremos el módulo <code>find-admins</code> para enumerar los roles de cada usuario de Okta e identificar cuáles de ellos tienen uno o más roles de administrador asignados.
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/TkDuAJQwKabkyj375rfYPe.jpg" data-uuid="TkDuAJQwKabkyj375rfYPe" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>Figura 4. Ejecución de los módulos de "descubrimiento" de Dorothy para obtener conocimiento sobre el entorno Okta</figcaption>
	Otros módulos de descubrimiento para ayudar con las tareas de recopilación de información son <code>find-users-without-mfa</code>, para encontrar usuarios que puedan autenticarse mediante solo un nombre de usuario y una contraseña, y <code>find-admin-groups</code>, para identificar grupos de usuarios que tengan uno o más roles de administrador asignados.
	 
	<h3>Persistencia</h3>
	Una vez que un atacante ha obtenido acceso a su entorno objetivo, buscará oportunidades para establecer persistencia. La persistencia le ayuda a un atacante a mantener el acceso en caso de que pierda la posición inicial establecida. Un ejemplo común de cómo un adversario podría perder su acceso es cuando el equipo de seguridad detecta su presencia y desactiva la cuenta de usuario comprometida que el atacante está usando o bloquea su comunicación en el perímetro de la red.
	
	Tener uno o más mecanismos de persistencia establecidos significa que el atacante podrá continuar su misión si una de sus rutas se ve bloqueada o interrumpida. En este ejemplo, usaremos los módulos <code>create-user</code> y <code>create-admin-user</code> de Dorothy para crear un usuario de Okta y <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_administrator_role_assigned_to_okta_user.toml">asignar un rol de administrador</a> al nuevo usuario. A continuación, crearemos una pregunta de recuperación para otro usuario de Okta para que podamos repasar el proceso de restablecer la contraseña de ese usuario y tomar el control de su cuenta como otro método de persistencia.
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/GBE6rQG2gxPGLhysSSTZet.jpg" data-uuid="GBE6rQG2gxPGLhysSSTZet" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>Figura 5. Creación y modificación de cuentas de usuario de Okta para establecer persistencia</figcaption>
	Dorothy tiene otros módulos de persistencia para ayudarnos a entender los pasos que un atacante podría dar, como <code>reset-factors</code>, para <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_attempt_to_reset_mfa_factors_for_okta_user_account.toml">eliminar los factores de autenticación inscritos de un usuario</a>, y <code>reset-password</code>, para generar un enlace de un solo uso para restablecer la contraseña de un usuario.
	 
	<h3>Evasión de la defensa</h3>
	Los adversarios intentarán ejecutar técnicas de evasión de la defensa para evitar ser detectados durante su misión. Por ejemplo, un atacante podría intentar desactivar el logging de seguridad para cegar al equipo de seguridad a sus acciones maliciosas.
	
	En este punto, hemos obtenido conocimiento acerca del entorno y configurado un par de formas de persistencia. Ejecutemos los módulos <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/okta_attempt_to_deactivate_okta_policy.toml"><code>change-policy-state</code></a> y <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/attempt_to_deactivate_okta_network_zone.toml"><code>change-zone-state</code></a> de Dorothy para debilitar los controles de seguridad del "objetivo".
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/ibEzpdD2KPKKK83d3n556d.jpg" data-uuid="ibEzpdD2KPKKK83d3n556d" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>Figura 6. Desactivación de la política de Okta y los objetos de la zona de red</figcaption>
	Otros módulos relacionados con la evasión de la defensa pueden activar, desactivar o modificar otros objetos de Okta, tales como aplicaciones y reglas de políticas individuales.
	
	Detendremos aquí nuestro escenario de ataque ficticio, pero si tienes curiosidad por saber qué más puede hacer Dorothy, dirígete al <a href="https://github.com/elastic/dorothy">repositorio de GitHub</a>.
	 
	<h2>Detección de comportamiento sospechoso con Elastic Security</h2>
	En esta sección demostraremos cómo el <a href="https://help.okta.com/en/prod/Content/Topics/Reports/Reports_SysLog.htm">log del sistema</a> de Okta impulsa nuestras reglas de detección gratuitas para monitorear y alertar a los equipos sobre comportamientos sospechosos.
	
	El log del sistema de Okta ofrece una pista de auditoría de la actividad que se observó en el entorno de una organización. Esto incluye actividades como el inicio de sesión o el cambio de contraseña de los usuarios, cambios de configuración hechos por administradores y muchas más. Esta fuente de datos es increíblemente poderosa para actividades de monitoreo de seguridad, investigaciones, cumplimiento y respuesta.
	 
	<h3>Ingesta de logs del sistema de Okta con Fleet</h3>
	<a href="/guide/en/fleet/current/fleet-overview.html">Fleet</a> proporciona una UI basada en la web en Kibana para agregar y administrar integraciones para servicios y plataformas populares, entre ellas Okta, AWS, Azure, Google Cloud Platform, Google Workspace y muchas otras. La integración de Fleet en Okta ofrece una manera sencilla de ingestar y normalizar los eventos de log del sistema de Okta.
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1fc3d0e8b7275ec1/5fcbba31a84f233eaf60eee8/7-Dorothy-blog-reviewing-fleet.png" data-sys-asset-uid="blt1fc3d0e8b7275ec1" alt="7-Dorothy-blog-reviewing-fleet.png" style="display: block; margin: auto">
	<figcaption>Figura 7. Revisión de la integración de Fleet en Okta en Kibana</figcaption>
	Para los equipos que ya usan Beats también está disponible un <a href="/guide/en/beats/filebeat/current/filebeat-module-okta.html">módulo de Filebeat de Okta</a>.
	 
	<h3>Detección de comportamiento sospechoso con las reglas de detección gratuitas de Elastic Security</h3>
	El Equipo de protecciones de Elastic Security investiga las técnicas profesionales del adversario para desarrollar detecciones y prevenciones para plataformas de endpoint, cloud y red. Nuestras <a href="https://github.com/elastic/detection-rules">reglas de detección</a> son gratuitas y están desarrolladas de manera abierta junto a la comunidad general de seguridad.
	
	Nuestras reglas de Okta emplean los eventos de log del sistema de indexación que están normalizados en <a href="/guide/en/ecs/current/ecs-reference.html">Elastic Common Schema (ECS)</a> y alertan a los equipos de seguridad sobre comportamientos pertinentes y sospechosos.
	
	En la Figura 8 a continuación se muestran varias alertas en Elastic Security después de usar Dorothy para simular acciones que un atacante podría emprender mientras opera en un entorno Okta.
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt4504667e3ac7b82d/5fcbba4cee448a54fd0cbc2e/8-Dorothy-blog-reviewing-alerts.png" data-sys-asset-uid="blt4504667e3ac7b82d" alt="8-Dorothy-blog-reviewing-alerts.png" style="display: block; margin: auto">
	<figcaption>Figura 8. Revisión de alertas abiertas en Elastic Security</figcaption>
	¿Y qué hay de esos molestos falsos positivos? Agregar excepciones a las reglas en Elastic Security para filtrar comportamientos habituales y previstos es sencillo. Esta característica incluye una opción para cerrar todas las alertas que coincidan con la excepción para ahorrarte tiempo.
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7ed73d87b82b1650/5fcbba59da1c393383d3dd8d/9-Dorothy-blog-adding_exception.png" data-sys-asset-uid="blt7ed73d87b82b1650" alt="9-Dorothy-blog-adding_exception.png" style="display: block; margin: auto">
	<figcaption>Figura 9. Cómo agregar una excepción a una regla de Okta en Elastic Security</figcaption>
	 
	
	<h2>Mide la cobertura de tu cloud con Dorothy</h2>
	Okta y otras soluciones de administración de identidades son con frecuencia atacadas por adversarios, sin embargo, si se llegan a monitorear, se suele hacer de manera deficiente. Creamos Dorothy como una herramienta para ayudar a los equipos de seguridad a comprender cómo los adversarios pueden operar dentro de entornos Okta, lo que les permite aún más poner a prueba su visibilidad y la eficacia de nuestras reglas de detección gratuitas y abiertas.
	
	Puedes conocer los primeros pasos con Dorothy si visitas la <a href="https://github.com/elastic/dorothy/wiki">wiki</a> del proyecto. Si todavía no eres usuario de Elastic Security, puedes registrarte para una <a href="/es/cloud/">prueba gratuita del cloud</a> hoy y echar un vistazo a nuestras <a href="/es/blog/elastic-security-opens-public-detection-rules-repo">reglas de detección</a> gratuitas.
	
</div>

Testing your Okta visibility and detection with Dorothy and Elastic Security

Prueba tu visibilidad y detección en Okta con Dorothy y Elastic Security

Start free trial

Blog Footer CTA

Sign up for Elastic Cloud free trial

david-french.jpg

Senior Security Research Engineer

David French

The content on this page is not available in the selected language. As Elastic grows globally, we continue to support content in multiple languages.

The content on this page is not available in the selected language.

El contenido de esta página no está disponible en el idioma seleccionado. Elastic está trabajando para garantizar que el contenido esté disponible en varios idiomas. Gracias por tu paciencia mientras trabajamos.

By submitting you acknowledge that you've read and agree to our <a href="/legal/elastic-cloud-account-terms" target="_self">Terms of Service</a>, and you agree to receive the <a href="/legal/privacy-statement#how-we-use-the-information" target="_self">selected communications</a> at the contact details you provided above. See <a href="/legal/privacy-statement/" target="_self">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Communication Preferences - ONLY for /communication-preferences

Al enviar, confirma que ha leído y acepta nuestras <a href="/es/legal/elastic-cloud-account-terms" target="_self">Condiciones de servicio</a>, y que acepta recibir las <a href="/es/legal/privacy-statement#how-we-use-the-information" target="_self">comunicaciones seleccionadas</a> en los detalles de contacto que proporcionó anteriormente. Consulte la <a href="/es/legal/privacy-statement/" target="_self">Declaración de privacidad de Elastic</a> para obtener más información o para cancelar su suscripción en cualquier momento.

By submitting you acknowledge that you've read and agree to our <a href="/legal/serverless-preview-terms" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Serverless GDPR Text

Al enviar, confirma que ha leído y acepta nuestras <a href="/es/legal/serverless-preview-terms" target="_self">Condiciones de servicio</a>, y que Elastic puede <a href="/es/legal/privacy-statement#how-we-use-the-information" target="_self">ponerse en contacto con usted</a> acerca de nuestros productos y servicios relacionados. Consulte la <a href="/es/legal/privacy-statement/" target="_self">Declaración de privacidad de Elastic</a> para obtener más información o para cancelar su suscripción en cualquier momento.

By submitting you agree to <a href="/agreements/global/cloud-services-monthly" rel="nofollow">Elastic Cloud Terms of Service</a>. Your personal data will be processed in accordance with <a href="/legal/privacy-statement">Elastic's Privacy Statement</a>.

Cloud Trial GDPR Text

Al enviar esta información, aceptas los <a href="/es/agreements/global/cloud-services-monthly" rel="nofollow">Términos de servicio de Elastic</a>. Los datos personales se procesarán de conformidad con la <a href="/es/legal/privacy-statement">declaración de privacidad de Elastic</a>.

By submitting you acknowledge that you've read and agree to our <a href="/legal/terms-of-use" target="_blank">Terms of Service</a>, and that Elastic may <a href="/legal/privacy-statement#how-we-use-the-information" target="_blank">contact you</a> about our related products and services, using the details you provide above. See <a href="/legal/privacy-statement/" target="_blank">Elastic’s Privacy Statement</a> for more details or to opt-out at any time.

Newsletter GDPR Text

Al enviar, confirma que ha leído y acepta nuestras <a href="/es/legal/terms-of-use" target="_self">Condiciones de servicio</a>, y que Elastic puede <a href="/es/legal/privacy-statement#how-we-use-the-information" target="_self">ponerse en contacto con usted</a> acerca de nuestros productos y servicios relacionados. Consulte la <a href="/es/legal/privacy-statement/" target="_self">Declaración de privacidad de Elastic</a> para obtener más información o para cancelar su suscripción en cualquier momento.

Hosted by

All Solutions

Follow us on Youtube

Watch now (no PT)

Articles by

Share by Email

Filters

All (no PT translation)

Contact information

See when this webinar starts in my time zone

Ver cuándo comienza este webinar en mi zona horaria

Thank you for your interest!

Register to Attend

Small image for

Register to Watch

Continue reading

Featured webinar

What to explore next...

Reset all

Load more press releases

Sign In to Attend

Share

Upcoming webinar

Learn more

Search Integrations

Share on Reddit

Share on Twitter

Share on Facebook

Load more news

View more posts

On-demand webinar

Follow us on Facebook

Author

Press Release

You'll also receive an email with related content.

You'll also receive an email with related content

Además, te enviaremos contenidos relevantes

Print

Contact Info

Overview

Video for

Read less

Register now

Share this story

See All Posts

See all top stories

View next

Can't make it? Register and we'll send you the recording. You'll also receive an email with related content

¿No puedes asistir? Regístrate y te enviaremos la grabación. También recibirás un correo electrónico con contenido relacionado.

Follow us on LinkedIn

Highlights

Explore similar demos

Follow us on Twitter

Share on LinkedIn

Load More

See more insights

Speakers

Close

Thank you for registering. We will send you a confirmation email soon.

Gracias por registrarte. Te enviaremos un correo electrónico de confirmación pronto.

Author

Articles by David French

Senior Security Research Engineer, Elastic

Prueba tu visibilidad y detección en Okta con Dorothy y Elastic Security