Elastic Detection Rules项目：基于Entra ID异常设备登录检测规则的实现

背景与威胁场景

在云身份认证安全领域，攻击者经常利用OAuth钓鱼或入侵后手段进行持久化攻击。近期观察到的攻击模式显示，攻击者能够在Entra ID（原Azure AD）中注册虚拟云设备并将其分配给目标用户。这种技术手段使攻击者能够获取PEM证书和私钥，进而交换获取主刷新令牌(PRT)。

PRT作为令牌授予令牌，可用于后续的安全令牌请求。值得注意的是，此类活动中的登录行为会报告特定的设备ID，这为检测提供了可能性。攻击者主要利用这种技术建立持久化访问通道。

检测方案设计

基于上述威胁场景，我们设计了一个基于"新出现项"(New Terms)的检测规则。该规则的核心思想是：当检测到某个设备ID和用户主体ID的组合在特定时间窗口内首次出现时，触发告警。

技术实现要点

1. 数据源选择：规则基于azure.signinlogs数据集，专注于认证事件类别

2. 关键过滤条件：

   • 仅关注成员用户类型(Member)
   • 筛选令牌保护状态为"unbound"的会话
   • 排除设备ID为空的情况
   • 确保用户主体名称存在

3. 检测逻辑：通过监控设备ID与用户主体ID的新组合，识别潜在的异常设备登录行为

规则实现细节

以下是该检测规则的核心查询逻辑：

event.dataset: "azure.signinlogs" and
    event.category: "authentication" and
    azure.signinlogs.properties.user_type: "Member" and
    azure.signinlogs.properties.token_protection_status_details.sign_in_session_status: "unbound" and
    not azure.signinlogs.properties.device_detail.device_id: "" and
    azure.signinlogs.properties.user_principal_name: *

实际应用价值

该检测规则在实际安全运营中具有以下价值：

1. 攻击链早期检测：能够在攻击者建立持久化访问的早期阶段发现异常
2. 低误报率：基于设备ID与用户主体的新组合关系，减少了误报可能性
3. 自动化响应基础：可作为自动化响应流程的触发条件，如强制重新认证或临时禁用账户

最佳实践建议

1. 调优建议：根据组织实际情况调整时间窗口，平衡检测灵敏度和运营负担
2. 关联分析：建议将此规则与其他身份认证异常检测规则结合使用，提高检测覆盖率
3. 响应策略：对于触发的告警，建议首先验证设备合法性，再决定是否采取进一步措施

总结

该检测规则针对云身份认证中的高级威胁提供了有效的检测手段。通过监控设备与用户的新关联关系，安全团队能够及时发现潜在的入侵和持久化行为。这种基于行为异常的检测方法，在对抗日益复杂的云环境攻击中展现出独特价值。