Azure Active Directory 高风险登录

Azure Active Directory 高风险登录编辑

利用 Microsoft 的身份保护机器学习和启发式方法识别高风险 Azure Active Directory (AD) 登录。身份保护将风险分为三个等级：低、中和高。虽然 Microsoft 没有提供有关如何计算风险的具体细节，但每个级别都提高了用户或登录被盗用的可能性。

规则类型：查询

规则索引:

filebeat-*
logs-azure*

严重性：高

风险评分: 73

运行间隔：5 分钟

搜索索引时间范围：now-25m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考资料:

标签:

域：云
数据源：Azure
用例：身份和访问审核
资源：调查指南
策略：初始访问

版本: 105

规则作者:

Elastic
Willem D’Haese

规则许可证：Elastic License v2

调查指南编辑

分类和分析

调查 Azure Active Directory 高风险登录

Microsoft 标识保护是一种 Azure AD 安全工具，可检测各种类型的身份风险和攻击。

此规则识别由 Microsoft 标识保护生成的具有高风险级别或高聚合风险级别的事件。

可能的调查步骤

确定触发事件的风险检测。可在此处找到包含说明的列表。
确定涉及的用户帐户，并验证可疑活动对于该用户是否正常。
考虑相关用户帐户的源 IP 地址和地理位置。它们看起来正常吗？
考虑用于登录的设备。它已注册并合规吗？
调查过去 48 小时内与该用户帐户相关的其他警报。
联系帐户所有者，确认他们是否知道此活动。
检查此操作是否已获批准并根据组织的变更管理策略执行。
如果您怀疑该帐户已被盗用，请通过跟踪该帐户在过去 24 小时内访问的服务器、服务和数据来确定可能被盗用的资产范围。

误报分析

如果由于预期活动导致此规则在您的环境中产生过多噪音，请考虑添加例外 - 最好用用户和设备条件的组合。

响应和修复

根据分类的结果启动事件响应流程。
在调查和响应期间禁用或限制该帐户。
确定事件的可能影响并确定优先级；以下操作可以帮助您了解上下文
确定云环境中的帐户角色。
评估受影响的服务和服务器的关键程度。
与您的 IT 团队合作，确定并最大程度地减少对用户的影响。
确定攻击者是否正在横向移动并盗用其他帐户、服务器或服务。
确定与此活动相关的任何监管或法律后果。
调查攻击者盗用或使用的系统上的凭据泄露情况，以确保识别所有被盗用的帐户。根据需要重置密码或删除 API 密钥，以撤消攻击者对环境的访问权限。在执行这些操作期间，与您的 IT 团队合作，最大程度地减少对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求重置其他 IAM 用户的密码。
考虑为用户启用多重身份验证。
遵循 Microsoft 概述的安全最佳实践。
确定攻击者滥用的初始载体，并采取行动防止通过同一载体再次感染。
使用事件响应数据，更新日志记录和审核策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

要与此规则兼容，需要使用 Azure Fleet 集成、Filebeat 模块或类似的结构化数据。

请注意，azure.signinlogs.properties.risk_level_during_signin 和 azure.signinlogs.properties.risk_level_aggregated 的详细信息仅适用于 Azure AD Premium P2 客户。所有其他客户都将返回 hidden。

规则查询编辑

event.dataset:azure.signinlogs and
  (azure.signinlogs.properties.risk_level_during_signin:high or azure.signinlogs.properties.risk_level_aggregated:high) and
  event.outcome:(success or Success)

框架：MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/

« Azure AD 全局管理员角色分配 Azure Active Directory 高风险用户登录启发式方法 »