监控高风险 Azure 登录
最近在安全运营中心(SOC),我们接到合作伙伴通知,称可能存在商业电子邮件泄露(BEC)事件。我们通常通过识别可疑的邮件转发规则、利用异常检测服务或合作伙伴报告(如此次场景)来发现此类事件。一如既往,在攻击链中越早捕获这些事件越好。这促使我们开始调查由 Azure AD 身份保护(现称为 Entra 身份保护)识别的高风险登录。
Entra ID 保护将风险级别分类为低、中或高。如果潜在威胁行为者获得了用户账户的访问权限,Entra ID 还会附加 atRisk 标签。风险级别的确定基于 Entra ID 对信号的置信度,并利用实时和离线检测技术来评估这些值。未使用 Azure AD P2 许可证的组织将在此服务中拥有有限的检测能力。
一旦理解了 Entra ID 用于进行这些检测的信息,调查这些事件就变得直接了。最有用的属性包括 IP 地址、操作系统、ASN 和来源国家。一旦识别出 atRisk 登录,我通过查询相关用户账户并比较周围日志的登录信息来开始调查,以查看用户的正常活动模式。
与多因素认证(MFA)事件最密切相关的检测是最有用的。从逻辑上讲,如果 MFA 请求已发送到设备,则用户账户的密码很可能已被泄露。我已将此包含在博客底部的 Sigma 规则中。
到目前为止,我见过的最常见误报来自用户从移动设备登录或由于出差而使用不同 IP 地址登录的情况。真正的阳性事件往往非常明显,例如用户通常从 Windows 机器登录,然后突然在另一个国家使用 Mac。
Azure atRisk 登录事件
总之,更密切地监控这些警报有助于我们在攻击链中更早地捕获更多此类事件。希望这对您也有所帮助。
Sigma 规则
标题: 需要 MFA 的高风险 Azure 登录
状态: 已测试
描述: 此检测利用 Azure AD 的内置服务 Azure AD 身份保护,检测需要 MFA 批准的云账户异常高风险登录。这是用户密码已泄露的指示。
参考:
作者: David Perez
日期: 2024/07/16
标签:
- attack.t1528
- attack.credential_access
日志源:
产品:azure
服务:signinlogs
检测:
选择:
risk_state: ‘atRisk’
authentication_requirement: ‘multiFactorAuthentication’
risk1:
risk_level_aggregated: ‘High’
risk2:
risk_level_during_signin: ‘High’
条件: 选择 and 1 of risk*
误报: - 已知出差的用户(最常见)。
- 使用其拥有的新设备进行认证的用户(例如移动设备)。
Entra 风险检测
可疑登录事件与日志/报告中检测之间的时间差可能显著不同——实时检测为 5-10 分钟,离线检测最多 48 小时。
| 风险检测 | 检测类型 | 类型 | riskEventType |
|---|---|---|---|
| 登录风险检测 | |||
| 来自匿名 IP 地址的活动 | 离线 | Premium | riskyIPAddress |
| 检测到额外风险(登录) | 实时或离线 | Nonpremium | generic = 非 P2 租户的 Premium 检测分类 |
| 管理员确认用户已泄露 | 离线 | Nonpremium | adminConfirmedUserCompromised |
| 异常令牌 | 实时或离线 | Premium | anomalousToken |
| 匿名 IP 地址 | 实时 | Nonpremium | anonymizedIPAddress |
| 非典型旅行 | 离线 | Premium | unlikelyTravel |
| 不可能旅行 | 离线 | Premium | mcasImpossibleTravel |
| 恶意 IP 地址 | 离线 | Premium | maliciousIPAddress |
| 大规模访问敏感文件 | 离线 | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra 威胁情报(登录) | 实时或离线 | Nonpremium | investigationsThreatIntelligence |
| 新国家 | 离线 | Premium | newCountry |
| 密码喷洒 | 离线 | Premium | passwordSpray |
| 可疑浏览器 | 离线 | Premium | suspiciousBrowser |
| 可疑收件箱转发 | 离线 | Premium | suspiciousInboxForwarding |
| 可疑收件箱操作规则 | 离线 | Premium | mcasSuspiciousInboxManipulationRules |
| 不熟悉的登录属性 | 实时 | Premium | unfamiliarFeatures | | 已验证的威胁行为者 IP | 实时 | Premium | nationStateIP | | 用户风险检测 | | | | | 检测到额外风险(用户) | 实时或离线 | Nonpremium | generic = 非 P2 租户的 Premium 检测分类 | | 异常用户活动 | 离线 | Premium | anomalousUserActivity | | 中间人攻击 | 离线 | Premium | attackerinTheMiddle | | 泄露的凭据 | 离线 | Nonpremium | leakedCredentials | | Microsoft Entra 威胁情报(用户) | 实时或离线 | Nonpremium | investigationsThreatIntelligence | | 可能尝试访问主刷新令牌(PRT) | 离线 | Premium | attemptedPrtAccess | | 可疑 API 流量 | 离线 | Premium | suspiciousAPITraffic | | 可疑发送模式 | 离线 | Premium | suspiciousSendingPatterns | | 用户报告的可疑活动 | 离线 | Premium | userReportedSuspiciousActivity |