Elastic Detection Rules项目中Linux登录活动检测规则的优化分析

背景介绍

在Elastic Detection Rules项目中，有一个针对Linux系统登录活动的检测规则(login_activity_by_source_address.toml)，该规则旨在识别潜在的异常登录行为。规则通过分析系统认证日志，统计来自同一源IP地址的失败登录尝试次数、成功登录次数以及涉及的不同用户数量，从而发现可疑活动。

原始规则存在的问题

经过深入分析，发现原始规则存在两个主要技术问题：

1. 逻辑缺陷：规则首先通过WHERE子句筛选event.outcome == "failure"的日志记录，但在后续的EVAL操作中又尝试统计成功登录(event.outcome == "success")的情况。由于前一步已经过滤掉了所有成功登录的记录，导致成功登录统计(count_success)始终为0，无法发挥应有的检测作用。

2. 多值字段处理不足：在实际环境中，event.category字段可能是一个数组类型，包含多个值(如["authentication", "success"])。原始规则直接使用event.category == "authentication"进行匹配，这在ES|QL查询中无法正确处理数组类型的字段匹配。

优化方案

针对上述问题，提出了以下优化方案：

1. 修改过滤条件：将event.outcome == "failure"改为event.outcome IN ("failure", "success")，确保同时捕获成功和失败的登录事件。

2. 处理多值字段：在查询开始处添加MV_EXPAND event.category操作，展开数组类型的字段，确保能够正确匹配包含"authentication"值的记录。

3. 优化检测阈值：建议调整最后的过滤条件，提供多种检测场景：

   • 检测同一IP对多个用户(≥10)的失败尝试(≥20次)
   • 检测失败尝试后伴随大量成功登录(>20次)的可疑行为
   • 设置结果数量上限，避免返回过多记录

技术细节分析

在Linux系统的认证日志中，特别是使用SSH服务时，通常会产生包含丰富上下文的日志记录。这些日志不仅包含认证结果(成功/失败)，还会记录源IP地址、用户名、时间戳等关键信息。优化后的规则能够更全面地分析这些信息：

1. 多阶段认证分析：现代Linux系统(如Debian 11/12)的认证过程可能产生多个相关事件，这些事件会被记录为数组类型的字段。通过MV_EXPAND处理，可以确保不遗漏任何关键事件。

2. 行为模式识别：通过同时分析成功和失败的登录尝试，可以识别更复杂的攻击模式，如"少量失败后成功"的密码猜测攻击，或者"大量失败后少量成功"的针对性攻击。

3. 环境适应性：提供可调整的阈值参数，使规则能够适应不同规模和环境特征的生产系统，在保持检测效果的同时减少误报。

实际应用建议

在实际部署时，安全团队应考虑：

1. 基准测试：根据组织内部的正常登录模式，调整各项阈值参数，确保既能检测异常又不产生过多噪音。

2. 日志完整性：确保所有关键系统的认证日志都能被完整收集，特别是SSH服务的日志。

3. 响应流程：为检测到的异常登录活动定义明确的响应流程，包括临时封锁IP、调查受影响账户等。

4. 持续优化：定期审查检测结果，根据新的攻击手法和环境变化调整规则参数。

通过这次优化，Elastic Detection Rules中的Linux登录活动检测规则将具备更全面、更准确的检测能力，能够有效识别各类可疑的认证活动，为系统安全提供更有力的保障。