Elastic Detection Rules升级后Windows安全检测规则失效问题分析

问题背景

在将Elastic Stack从8.8.2版本升级到8.14.3版本，并同时将Windows集成从1.x升级到2.0后，用户发现多个预定义的安全检测规则开始出现执行失败的情况。这些规则主要涉及Windows系统的安全监控，包括凭证访问、LDAP属性修改、计划任务创建等关键安全事件检测。

失效规则列表

升级后出现问题的规则主要包括以下类型：

1. 凭证访问相关

   • 通过DCSync的潜在凭证访问检测
   • 敏感LDAP属性访问检测

2. Active Directory变更监控

   • AdminSDHolder SDProp排除项添加检测
   • 组策略对象中添加启动/登录脚本
   • 通过GPO大规模执行计划任务
   • 组策略滥用添加权限

3. 计划任务监控

   • 通过RPC远程创建计划任务
   • 临时计划任务创建

4. 服务安装监控

   • 通过异常客户端安装Windows服务

问题根源分析

经过深入分析，这些规则失效的根本原因在于字段映射缺失。具体表现为规则查询中引用的特定事件日志字段在升级后的索引中不存在，例如：

• winlog.event_data.Properties
• winlog.event_data.AttributeLDAPDisplayName
• winlog.event_data.RpcCallClientLocally
• winlog.event_data.ParentProcessId
• winlog.event_data.TaskName

这些字段属于动态映射字段，只有当包含这些字段的事件被实际采集并索引后，Elasticsearch才会自动创建相应的字段映射。在升级过程中，由于以下因素可能导致字段映射未能正确建立：

1. 数据采集配置变更：Windows集成从1.x升级到2.0可能改变了默认的事件日志采集配置
2. 审计策略未启用：部分规则依赖特定的Windows审计策略，如果这些策略未启用，相关事件将不会被记录
3. 索引模板更新：升级过程中索引模板可能发生变化，影响了字段的动态映射行为

解决方案

针对这一问题，建议采取以下解决步骤：

1. 验证数据采集配置
   确保Windows集成已正确配置，采集了规则所需的事件日志。例如，对于Active Directory变更监控规则，需要启用"审计目录服务更改"策略。

2. 检查审计策略
   在Windows系统中确认以下审计策略已启用：

   • 审计目录服务更改（用于AD相关规则）
   • 审计对象访问（用于服务安装检测）
   • 审计详细跟踪（用于计划任务监控）

3. 触发测试事件
   人工生成测试事件以触发相关日志记录，例如：

   • 创建临时计划任务
   • 修改组策略对象
   • 安装测试Windows服务

4. 验证字段映射
   使用Elasticsearch的_mapping API验证所需字段是否已正确映射：

   GET /logs-system.security-*/_mapping/field/winlog.event_data.*
   

5. 规则状态监控
   在Kibana的安全应用中监控规则状态，确认错误是否已解决。

最佳实践建议

1. 升级前准备
   在升级Elastic Stack前，应详细阅读版本升级说明，特别是关于安全规则和数据采集变更的部分。

2. 测试环境验证
   先在测试环境中验证升级过程，确认所有关键安全规则仍能正常工作。

3. 文档参考
   每个预定义规则都附带有详细的"Setup"说明，升级后应重新检查这些文档，确保满足所有前提条件。

4. 持续监控
   建立规则健康状态监控机制，及时发现并解决类似问题。

通过以上措施，可以确保在升级Elastic Stack后，安全检测规则能够持续有效地监控Windows环境中的安全事件。