Elastic Detection Rules项目中OAuth2授权检测规则的索引模式优化

在Elastic Detection Rules项目中，一个关于Microsoft 365可疑OAuth2授权活动的检测规则存在索引模式匹配范围不足的问题。该规则原本仅针对特定命名模式的索引（logs-o365.audit-default*），这在实际部署中可能导致部分审计日志被遗漏。

问题背景

在SIEM系统部署实践中，企业通常会根据自身需求对日志索引采用不同的命名规范。原始规则仅匹配"logs-o365.audit-default*"这种特定模式，而实际上许多用户会使用其他命名空间来存储O365审计日志。这种严格的索引匹配模式可能导致规则无法覆盖所有相关日志数据，从而产生漏报。

技术分析

OAuth2授权是Microsoft 365中常见的身份验证机制，但也常被攻击者滥用进行横向移动或权限提升。检测此类可疑活动需要确保规则能够处理所有可能存储相关日志的索引。

原始规则的索引模式限制为：

logs-o365.audit-default*

优化建议调整为更通用的模式：

logs-o365.audit-*

这种修改带来以下优势：

1. 通配符匹配所有以"logs-o365.audit-"开头的索引，无论后续命名如何
2. 兼容不同部署环境下的索引命名习惯
3. 确保不会遗漏任何可能包含相关日志的索引

实施建议

对于使用该规则的安全团队，建议：

1. 检查当前环境中Microsoft 365审计日志的实际索引命名模式
2. 根据实际情况调整规则中的索引匹配模式
3. 测试修改后的规则确保其能够正确捕获所有相关事件
4. 定期审查日志索引命名规范，确保与检测规则保持同步

这种优化属于数据质量调整范畴，目的是确保检测规则能够基于完整、准确的数据源进行告警，提高安全监控的覆盖率和有效性。