Sigma项目：检测通过Entra ID泄露Windows LAPS凭证的攻击行为

背景概述

Windows本地管理员密码解决方案(LAPS)是企业环境中广泛使用的密码管理机制，它能自动管理加入域设备的本地管理员账户密码。近期安全研究人员发现，攻击者可能通过微软Entra ID(原Azure AD)的服务接口提取LAPS管理的凭证，这为横向移动攻击提供了新的途径。

技术原理分析

当攻击者获取足够权限后，可以通过Entra ID的"设备注册服务"执行"恢复设备本地管理员密码"操作。该操作会在日志中留下特定特征：

1. 日志类别标记为"Device"
2. 活动类型明确记录为"Recover device local administrator password"
3. 附加信息字段包含"Successfully recovered local credential by device id"的成功提示
4. 服务来源显示为"Device Registration Service"

Sigma检测规则详解

该检测规则针对Azure活动日志进行监控，核心逻辑是捕捉上述特征行为。规则被标记为高风险，因为它直接关联到凭证泄露这一关键攻击阶段。规则特别关注：

• 设备管理类操作中的密码恢复行为
• 成功的凭证恢复操作记录
• 通过设备注册服务发起的敏感操作

防御建议

1. 严格限制具有设备注册服务操作权限的账户
2. 对LAPS密码恢复操作实施多因素认证
3. 建立此类操作的审批工作流
4. 定期审计具有相关权限的账户
5. 将检测规则与SIEM系统集成实现实时告警

潜在误报场景

该规则可能在某些合法管理场景下触发，如：

• 经批准的IT支持团队执行密码恢复
• 自动化运维系统执行预授权的维护操作 建议组织根据实际环境调整规则阈值或建立白名单机制。

通过部署此Sigma规则，企业可以及时发现潜在的LAPS凭证泄露行为，有效阻断攻击者利用此技术进行横向移动的企图。