Elastic Detection Rules项目中的Azure Entra ID异常登录检测规则优化

背景与问题分析

在云安全领域，针对身份认证系统的异常登录行为一直是企业面临的主要威胁之一。微软Azure Entra ID(原Azure Active Directory)作为企业广泛使用的身份认证服务，经常成为攻击者的目标。近期VOID BLIZZARD研究显示，异常登录行为已成为攻击者获取初始访问权限的常用手段。

Elastic Detection Rules项目中现有的Azure Entra ID Password Spraying (Non-Interactive SFA)规则存在检测范围有限的问题，仅能检测特定情况下的异常登录行为(SFA)，而无法覆盖其他类型的异常登录模式。

规则优化方案

检测逻辑改进

优化后的检测规则将重点关注以下关键要素：

1. 用户与源地址信息：记录尝试登录的用户名和来源IP地址
2. 错误代码分析：特别关注Azure Entra ID特有的AADSTS[NUMBER]系列错误代码
3. 应用上下文：记录认证请求所针对的应用程序名称
4. 地理位置数据：包括ASN(自治系统号)和国家信息
5. 用户代理：分析客户端使用的用户代理字符串
6. 时间戳：精确记录每次尝试的时间

异常登录类型识别

新规则通过CASE()语句创建新字段，专门识别三种不同类型的异常登录行为：

1. 多账号异常登录

   • 涉及超过10个用户
   • 总尝试次数超过30次
   • 失败登录持续时间小于10分钟
   • 用户数量多于涉及的IP地址数量

2. 分散式异常登录

   • 涉及超过15个用户
   • 每个用户仅1次登录错误(关键特征)
   • 总尝试次数至少等于用户数量
   • 持续时间小于30分钟

3. 集中式异常登录

   • 针对1个用户
   • 出现1种独特的错误类型
   • 5分钟内失败登录尝试超过30次

排除项优化

为减少误报，规则特别排除了：

• 来自微软自有ASN的源地址
• 使用PKeyAuth用户代理的后台认证
• 账户锁定错误(AADSTS50053)，这类事件将由专门的账户锁定规则处理

时间窗口调整

考虑到异常登录行为可能采用"低慢小"策略，规则采用滚动时间窗口：

• 每15分钟检查过去1小时的数据
• 使用15分钟的时间桶(较之前5分钟更宽松)
• 平衡检测灵敏度与系统性能

规则拆分与整合

优化方案建议将规则拆分为两个：

1. 通用Azure Entra ID异常登录检测规则
2. 专门针对Microsoft 365/Exchange/SharePoint等服务的异常登录检测规则

同时可以弃用原有的Azure Entra Sign-in Brute Force Microsoft 365 Accounts by Repeat Source规则，因其功能已被新规则覆盖。

调查指南改进

针对ES|QL查询结果表格化显示的特点，优化了调查指南：

• 明确说明如何调查警报
• 使用VALUES()保留关键调查字段
• 提供清晰的调查步骤和注意事项

总结

通过对Elastic Detection Rules项目中Azure Entra ID异常登录检测规则的优化，安全团队现在能够更全面地检测各种类型的异常登录行为。这种改进不仅提高了检测覆盖率，还通过精细化的过滤条件减少了误报，使安全运营更加高效。