检测潜在威胁在任何组织中都是非常重要的。因为 Azure 和 Office 365 被广泛使用，所以我决定从这里开始。我希望您会发现它很有用，因为不幸的是，在使用 SIEM 监视 Azure 方面，除了微软之外，缺少其他优秀的资源，我不得不花费很多时间来研究日志并找出相关的内容。

这并不是 Azure 中所有产品和服务的完整指南。我只是没有足够的空闲时间来做所有的事情。但我认为这是监视常用服务的一个很好 的起点。

这里的大多数查询都是为 Splunk 构建的，因为它作为一个 SIEM 越来越受欢迎。如果您或您的组织不使用 Splunk ，您可以手动转换它们，或者尝试使用 Sigma 205 。查询应该是基本搜索，您可以在此基础上构建查询，并根据需要进行自定义。

日志摄入的要求

这取决于你的 SIEM 。大多数 SIEM 或日志管理平台都提供了应用程序或连接器，可以轻松地从 Azure 获取日志。对于 Splunk，您可能需要以下应用程序 :

如果您正在使用ArcSight，您可以在ArcSight市场上找到连接器。如果您正在使用的解决方案没有这样的应用程序可用，您可以使用Azure API编写提取脚本。所提供的日志是JSON格式的，因此解析应该很容易。

Azure活动日志集成的详细信息可以在针对每种类型日志的集成列49中找到。具体到Office 365，可以在这里找到42。

构建已知攻击者列表

你可能是密码喷雾和BruttFrand攻击的目标。这是您的组织可以通过构建“已知攻击者”列表来利用的优势。然后，您可以将此列表用于：

1. 识别攻击者攻击的其他服务
2. 从这些源成功地进行身份验证以识别被破坏的帐户
3. 进行情报收集，以确定您的组织是否是特定目标

我发现使用Azure构建此类列表的一个可靠方法是寻找一个未知IP，在n个不同的帐户上生成帐户锁定。在下面的搜索中，我首先查找生成锁定帐户的源，并排除列表中已经存在的IP地址以避免重复。然后，我在Splunk运行iplocation命令，以获取他们每个人的国家和城市。最后，我对clientip的userid字段做了一个独特的计数，并且将锁定5个或更多帐户的源IP附加到列表中。

网上交换

向外部收件人发送大量电子邮件的用户

尝试检测可能被破坏的主机向外部收件人发送垃圾邮件。在大型组织中，由于内部通信、群发邮件等原因，这可能会产生多个误报，因此我建议通过排除一些合法发件人进行过滤。在 RecipientCount 大于等于 100 的部分中可以修改阈值

邮件转发给外部收件人

电子邮件转发可以由管理员和用户设置。监视此类事件以检测内部威胁非常重要。不同之处在于，管理员可以设置影响Exchange Online 中一个或多个用户的新邮件传输规则，而用户只能在自己的邮箱中从 Outlook 客户端执行此操作。

由管理员转发给外部收件人

使用 New-TransportRule Cmdlet 的管理员

由用户转发给外部收件人

使用 Outlook 客户端的用户

由邮箱所有者以外的用户删除的邮箱项目

用于监视对其他用户邮箱具有权限的用户删除可能敏感或不应首先删除的项目。

一个驱动器

与组织外的个人共享 OneDrive 项目的用户

这是不言自明的，可用于检测自愿与外部方共享机密信息或打字错误的个人。在这里，一个可信的第三方（合作伙伴、子公司等）电子邮件列表也可以用来过滤噪音。

Azure 活动目录

关于 MFA 和遗留身份验证的说明

Azure 允许使用 ActiveSync 进行遗留身份验证。这意味着，即使您在整个组织中都在 Azure 中强制执行了 MFA ，只要启用了遗留身份验证， MFA 对于成功地强制、密码喷涂或对帐户受影响的邮箱进行身份验证都是无用的。

锁定账户

从现有用户识别锁定的帐户。我说存在，是因为奇怪的是， Azure 检测并锁定了不存在的帐户 ( 我不是在开玩笑 ) ，这解释了在“ actor {}.ID ”中排除未知的参与者 id != ” 未知 ” 部分。删除它将返回许多假阳性，因为它将包含组织中不存在的帐户的任何锁。 

在不使用黑名单 IP 中的 mfa 的情况下成功进行身份验证

这就是早期黑名单有用的地方。您可以使用自己已知攻击者的黑名单或使用威胁情报源来检测受攻击的帐户。

如果使用 Splunk Enterprise Security ，可以替换 |inputlookup 命令部分，并使用 ip_intel 宏来匹配聚合在 Splunk 中的 intel 威胁。

有大量失败的mfa挑战的用户

因为与某些产品的集成可能非常麻烦，所以可能会发出噪音。否则，检测密码被泄露但由于启用了mfa而导致身份验证失败的帐户非常有用。这取决于你和你对环境的了解来定义阈值和什么是高计数。如果您碰巧有多个办公室或远程用户，我强烈建议排除已知合法公共IP列表，以减少噪音。

电子数据发现

电子数据展示是一项非常敏感的功能，是安全与合规中心的一部分。它可以用于搜索个人帐户或组织中的所有用户帐户中的任何内容。虽然这看起来令人毛骨悚然（这就是为什么应该监控其使用的原因），但它对于在法律案件中获取证据极其有用。

已启动或导出符合性搜索

任何时候运行诸如电子数据展示合规性搜索之类的操作时，都应该由负责监督公司法律案例或人力资源的人报告和验证，因为信息的敏感性。

要求删除项目的符合性搜索

合法的大多数时间（即从用户邮箱中删除网络钓鱼邮件），它也可以用来删除犯罪证据。请特别注意日志中显示的 -purgetype参数，因为硬删除表示永久删除。

与电子数据展示搜索一样重要的是，监视在安全与合规中心中作为管理员添加的用户。

转载自安全加：http://toutiao.secjia.com/article/page?topid=111882