« Azure 诊断设置删除 Azure Entra 登录暴力破解 Microsoft 365 帐户 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

Azure Entra 登录暴力破解 Microsoft 365 帐户(重复来源)

编辑

Azure Entra 登录暴力破解 Microsoft 365 帐户(重复来源)

编辑

识别针对 Microsoft 365 用户帐户的潜在暴力破解尝试,方法是在 30 分钟窗口内检测来自单个来源的大量失败的交互式或非交互式登录尝试。攻击者可能会尝试对用户帐户进行暴力破解,以通过不同的服务(如 Exchange、SharePoint 或 Teams)获得对 Microsoft 365 服务的未授权访问。

规则类型: esql

规则索引: 无

严重性: 中等

风险评分: 47

每隔: 10 分钟

搜索索引自: now-30m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:云
  • 域:SaaS
  • 数据源:Azure
  • 数据源:Entra ID
  • 数据源:Entra ID 登录
  • 用例:身份和访问审计
  • 用例:威胁检测
  • 策略:凭据访问

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

此规则依赖于 Azure Entra ID 登录日志,但会筛选 Microsoft 365 资源。

规则查询

编辑
from logs-azure.signinlogs*
| WHERE
  event.dataset == "azure.signinlogs"
  and event.category == "authentication"
  and to_lower(azure.signinlogs.properties.resource_display_name) rlike "(.*)365(.*)"
  and azure.signinlogs.category in ("NonInteractiveUserSignInLogs", "SignInLogs")
  and event.outcome != "success"

  // For tuning, review azure.signinlogs.properties.status.error_code
  // https://learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes

// keep only relevant fields
| keep event.dataset, event.category, azure.signinlogs.properties.resource_display_name, azure.signinlogs.category, event.outcome, azure.signinlogs.properties.user_principal_name, source.ip

// Count the number of unique targets per source IP
| stats
  target_count = count_distinct(azure.signinlogs.properties.user_principal_name) by source.ip

// Filter for at least 10 distinct failed login attempts from a single source
| where target_count >= 10

框架: MITRE ATT&CKTM

« Azure 诊断设置删除 Azure Entra 登录暴力破解 Microsoft 365 帐户 »