1.Azure AD New MFA Method Registered For User
出典:
https://research.splunk.com/cloud/2628b087-4189-403f-9044-87403f777a1b/
使用ログ:AuditLogs
このSplunk Processing Language (SPL) クエリは、Azure Active Directory (AAD) の監査ログからユーザーがセキュリティ情報を登録したイベント(例: MFA(多要素認証)方法を追加した)を抽出し、結果を整理・集計して表示するために使用されます。以下は各部分の詳細な説明です。
クエリの詳細説明:
azure_monitor_aad category=AuditLogs operationName="User registered security info" properties.operationType=Add:
この部分は、azure_monitor_aad ソースタイプからログを検索し、category が AuditLogs で、operationName が "User registered security info" であるイベント、つまりユーザーがセキュリティ情報を登録した操作(例: MFA 方法を追加した)をフィルタリングしています。また、properties.operationType が Add であることも条件に加えています。
rename properties.* as *:
properties フィールド内のすべてのサブフィールドを直接使えるようにするために、properties.* から * にフィールド名を変更しています。つまり、properties フィールドの中に含まれているすべてのフィールドがトップレベルに移動します。
rename targetResources{}.* as *:
targetResources 配列内のすべてのサブフィールドを、これも直接使えるようにするために、targetResources{}.* から * にフィールド名を変更しています。これにより、targetResources 内のデータをトップレベルに移動します。
stats count min(_time) as firstTime max(_time) as lastTime by user, resultDescription, result, src_ip:
指定されたフィールド (user, resultDescription, result, src_ip) に基づいて、イベントの集計を行います。具体的には、これらのフィールドごとに:
イベントの数 (count) を計算。
最初のイベント発生時刻 (min(_time)) を firstTime として表示。
最後のイベント発生時刻 (max(_time)) を lastTime として表示。
security_content_ctime(firstTime) と security_content_ctime(lastTime):
firstTime と lastTime のタイムスタンプを人間が読みやすい形式(例: YYYY-MM-DD HH:MM
など)に変換するために使われるマクロです。
azure_ad_new_mfa_method_registered_for_user_filter:
これはカスタムマクロで、Azure ADにおいて新たにMFA方法が登録された際のフィルタ処理や追加の処理を行う可能性があります。具体的な内容は環境に依存しますが、このマクロはフィルタリングや追加の条件処理のために使われていると考えられます。
全体の目的:
このクエリは、ユーザーが新しいセキュリティ情報(特にMFA方法)をAzure Active Directoryに登録したイベントを抽出し、各ユーザーについての操作結果やアクセス元IPアドレスを含む詳細を集計して表示することを目的としています。この情報は、セキュリティチームが新しいMFA方法の登録活動を監視し、不正な操作がないかを確認するのに役立ちます。
2.azure_mfa_disabled.yml
出典:
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_mfa_disabled.yml
使用ログ:activitylogs
Azure アクティビティ ログのイベント スキーマ:
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log-schema
このSigmaルールは、多要素認証 (MFA) が無効化されたイベントを検出するためのものです。MFAの無効化は、攻撃者が認証メカニズムをバイパスするための悪意ある行動の一環として行われる可能性があるため、セキュリティインシデントの早期検出に役立ちます。以下はこのSigmaルールの各部分の詳細な説明です。
Sigmaルールの詳細説明
title: Disabled MFA to Bypass Authentication Mechanisms
ルールのタイトルです。MFAを無効にすることで認証メカニズムをバイパスしようとする試みを検出することを目的としています。
id: 7ea78478-a4f9-42a6-9dcd-f861816122bf
ルールの一意識別子(UUID)です。このルールを他のルールと区別するためのIDです。
status: test
ルールの現在のステータスです。test は、このルールがテスト段階であることを示します。つまり、運用環境で使用する前に十分なテストが必要であることを示しています。
description: Detection for when multi factor authentication has been disabled, which might indicate a malicious activity to bypass authentication mechanisms.
ルールの説明です。MFAが無効化された場合に、それが認証メカニズムをバイパスするための悪意のある活動である可能性があることを検出する目的があります。
references:
https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-userstates
ルールに関連する参考リンクです。このリンクは、Azure Active DirectoryでのMFAのユーザー状態に関するMicrosoftのドキュメントを指しています。
author: '@ionsor'
ルールの作成者です。作成者のGitHubハンドルや名前が含まれています。
date: 2022-02-08
ルールが作成された日付です。
tags:
attack.persistence:
このルールは、攻撃者が持続的なアクセスを確立するための活動(永続化)を検出することを意図していることを示します。
attack.t1556:
このルールは、MITRE ATT&CKのテクニック「T1556: Modify Authentication Process」に関連しています。このテクニックは、認証プロセスを変更することで攻撃者が持続的なアクセスを確保する手法です。
logsource:
product: azure:
これはAzure製品からのログを対象にしていることを示しています。
service: activitylogs:
Azureのアクティビティログを使用して検出を行うことを示しています。
detection:
selection:
eventSource: AzureActiveDirectory:
イベントのソースがAzure Active Directoryであることを条件としています。
eventName: 'Disable Strong Authentication.':
イベント名が「Disable Strong Authentication.」であることを条件としています。これは強力な認証(MFAなど)を無効化する操作を示します。
status: success:
操作が成功した(status: success)ことを条件としています。
condition: selection:
selection条件を満たすイベントを検出することを指定しています。
falsepositives:
Authorized modification by administrators:
正当な管理者による変更が誤検知される可能性があります。MFAの無効化が必ずしも悪意のある行動ではなく、管理者による正当な操作である場合もあることを示しています。
level: medium
このルールの重要度レベルです。このケースでは「medium」(中程度の重要度)として指定されています。これは、このイベントが潜在的なリスクを示すが、他の条件と組み合わせてリスクを評価すべきであることを示唆しています。
全体の目的
このSigmaルールは、Azure Active Directoryで多要素認証 (MFA) が無効化された場合、それが不正な活動の一環である可能性があるため、そのイベントを検出してセキュリティアラートをトリガーすることを目的としています。この種のイベントは、特に攻撃者が認証プロセスを弱体化させることでシステムへの不正アクセスを容易にしようとする場合に関連する重要なシグナルとなります。
3.azure_change_to_authentication_method.yml
出典:
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/audit_logs/azure_change_to_authentication_method.yml
使用ログ:auditlogs(Microsoft Entra audit log)
Microsoft Entra audit log categories and activities:
https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-audit-activities
Sigmaルールの解説:
このSigmaルールは、Azure環境における認証方法の変更を検出することを目的としています。認証方法の変更は、攻撃者がアカウントに新しい認証方法を追加し、持続的なアクセスを維持しようとする場合に発生することがあり、これはセキュリティインシデントの重要な兆候となります。以下は各部分の詳細な説明です。
Sigmaルールの詳細説明
title: Change to Authentication Method
ルールのタイトルです。認証方法の変更を検出することを目的としています。
id: 4d78a000-ab52-4564-88a5-7ab5242b20c7
ルールの一意識別子(UUID)です。このルールを他のルールと区別するためのIDです。
status: test
ルールのステータスで、test は、このルールがテスト段階にあることを示します。つまり、運用環境で使用する前に十分なテストが必要です。
description: Change to authentication method could be an indicator of an attacker adding an auth method to the account so they can have continued access.
ルールの説明です。認証方法の変更は、攻撃者がアカウントに新しい認証方法を追加し、持続的なアクセスを維持しようとする兆候である可能性があります。
references:
https://learn.microsoft.com/en-us/entra/architecture/security-operations-privileged-accounts
ルールに関連する参考リンクです。このリンクは、Microsoftの特権アカウントのセキュリティ運用に関するドキュメントを指しています。
author: AlertIQ
ルールの作成者です。AlertIQという名前の個人または組織が作成したことを示しています。
date: 2021-10-10
ルールが作成された日付です。
modified: 2022-12-25
ルールが最後に修正された日付です。最新の情報や条件に基づいて更新されたことを示しています。
tags:
attack.credential-access:
このルールは、攻撃者がアカウントや認証情報にアクセスするための活動(クレデンシャルアクセス)を検出することを意図しています。
attack.t1556:
MITRE ATT&CKのテクニック「T1556: Modify Authentication Process」に関連します。これは、認証プロセスを変更することで攻撃者がアクセスを維持しようとする手法です。
attack.persistence:
攻撃者が持続的なアクセスを確立するための活動(永続化)を検出することを意図しています。
attack.defense-evasion:
攻撃者が検出を回避するための活動(防御回避)を検出することを意図しています。
attack.t1098:
MITRE ATT&CKのテクニック「T1098: Account Manipulation」に関連します。これは、アカウント操作を通じて攻撃者が権限を維持しようとする手法です。
logsource:
product: azure:
Azure製品からのログを対象にしていることを示しています。
service: auditlogs:
Azureの監査ログを使用して検出を行うことを示しています。
detection:
selection:
LoggedByService: 'Authentication Methods':
イベントが「Authentication Methods」サービスによって記録されたものであることを条件としています。これは、認証方法に関連する操作であることを示します。
Category: 'UserManagement':
イベントのカテゴリが「UserManagement」であることを条件としています。これはユーザー管理に関連する操作を意味します。
OperationName: 'User registered security info':
イベント名が「User registered security info」であることを条件としています。これはユーザーが新しいセキュリティ情報(例えば、新しい認証方法)を登録したことを示します。
condition: selection:
selection条件を満たすイベントを検出することを指定しています。
falsepositives:
Unknown:
現時点で考慮すべき明確な誤検知の可能性が不明であることを示しています。
level: medium
このルールの重要度レベルです。このケースでは「medium」(中程度の重要度)として指定されています。これは、このイベントが潜在的なリスクを示すが、他の条件と組み合わせてリスクを評価すべきであることを示唆しています。
全体の目的
このSigmaルールは、ユーザーの認証方法が変更された場合、それが不正アクセスや攻撃者による持続的なアクセスの確保を意図した行為である可能性があるため、そのようなイベントを検出してセキュリティアラートをトリガーすることを目的としています。特に、攻撃者がアカウントに新しい認証方法を追加し、自分自身のアクセスを確保するケースが考えられます。このルールは、こうしたセキュリティリスクを早期に検出するのに役立ちます。
コメントを残す