Elastic Detection Rules项目中Microsoft 365异常登录检测规则的优化实践

背景介绍

在Elastic Detection Rules项目中，initial_access_microsoft_365_impossible_travel_activity.toml规则用于检测Microsoft 365环境中的异常登录行为。该规则通过分析用户的地理位置变化来判断是否存在"不可能旅行"的情况，即短时间内从地理位置相距过远的地点登录，这可能表明账户被入侵。

问题发现

在实际部署中，安全团队发现该规则产生了大量误报。经过分析，发现主要原因是Microsoft 365审计日志中的UserId字段有时会包含"Not Available"这样的占位值。当规则尝试对这些记录进行地理位置分析时，由于无法准确关联到具体用户，导致产生了大量无效告警。

技术分析

从提供的示例数据可以看出：

1. 日志记录了一个成功的用户登录事件(UserLoggedIn)
2. 用户代理显示为iOS设备上的Safari浏览器
3. 登录IP位于比利时根特市
4. 关键字段o365.audit.UserId和user.id的值都是"Not Available"

这种情况下，规则引擎无法：

• 建立有效的用户身份关联
• 进行准确的地理位置历史比对
• 判断是否真的存在异常登录行为

解决方案

针对这个问题，Elastic安全团队在PR #4105中进行了规则优化，主要改进包括：

1. 增加了对UserId字段的有效性检查
2. 过滤掉包含"Not Available"等占位值的记录
3. 确保只有包含有效用户标识的记录才会触发异常检测

实施效果

经过优化后：

• 误报率显著降低
• 安全团队可以更专注于真正的威胁
• 规则运行效率提高
• 告警质量得到改善

最佳实践建议

对于使用类似检测规则的组织，建议：

1. 定期审查规则产生的告警
2. 关注日志数据的完整性和质量
3. 及时更新到最新版本的检测规则
4. 根据自身环境特点调整规则参数
5. 建立误报反馈机制，持续优化检测效果

总结

通过这次规则优化，Elastic Detection Rules项目展示了其持续改进的能力。对于安全运营团队而言，理解底层检测逻辑并及时反馈问题，是构建有效安全监测体系的重要环节。这种基于实际运营数据的持续优化，正是安全检测规则保持高效的关键所在。