サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft 365監査ログの認証方法をビットフィールドマッピングで解読:調査レポート

カテゴリ:

, , , , , , , , ,

はじめに

クラウドサービスにおけるユーザー認証方法を正確に理解することは、効果的なセキュリティ監視にとって極めて重要です。最近改良されたビットフィールドマッピング技術により、Microsoft 365監査ログ内の不透明なUserAuthenticationMethod値が解読され、数値コードが実用的な人間が読める説明に変換されました。この画期的な進歩により、Microsoft 365監査ログのみが利用可能な場合でも、インシデント対応者は主要な認証方法を特定できるようになります。

Microsoft 365監査ログの課題

ユーザーがMicrosoftのクラウドサービスにサインインすると、認証イベントはMicrosoft EntraサインインログとMicrosoft 365監査ログの両方に表示されます。これらのログは同一のイベントをキャプチャしますが、認証の詳細は異なる形式で保存されます。Entraログはメソッドをプレーンテキストで記述するのに対し、Microsoft 365監査ログはUserAuthenticationMethodの数値(例:16、272、33554432)のみを報告し、その意味を説明する公式ドキュメントはありません。

ビットフィールドマッピングによる解読

Sekoia.ioのアナリストは、これらの整数が実際にはビットフィールドを表していることを発見しました。各セットビットは特定の主要な認証方法に対応しています。数値バイナリに変換し、アクティブなビットを特定することで、セキュリティチームはサインイン中にどの要素が使用されたかを識別できます。これには、「ステージドロールアウトによるパスワードハッシュ同期」のような複雑な組み合わせ方法も含まれます。

Microsoft 365とEntra IDログの相関分析

マッピングをリバースエンジニアリングするために、研究者はMicrosoft 365監査ログエントリと、同じ相関識別子(監査ログのInterSystemsIdとEntraログのcorrelationId)を共有するEntra IDサインインログを相関させました。Entraログは明確なauthenticationMethodおよびauthenticationMethodDetailフィールドを提供するため、チームは各ビットの10進値を対応するメソッドにマッピングできました。例えば、ビット4(10進数16)はパスワードハッシュ同期を示し、ビット8(10進数256)はステージドロールアウトを介して展開されたメソッドを示します。したがって、272(バイナリ100010000)という値は、「ステージドロールアウトによるパスワードハッシュ同期」を明確に表し、使用された主要な資格情報の正確な組み合わせを明らかにします。

この方法論は、Sekoia Operating Language(SOL)の2段階クエリを通じて実装されています。

  • まず、ターゲットのUserAuthenticationMethod値を持つMicrosoft 365レコードを取得します。
  • 次に、相関するEntra IDイベントをフェッチして、認証方法を発生頻度で集計およびランク付けします。

通常、上位の結果が数値コードにマッピングされた主要な認証要素を明らかにします。SOLの表現力豊かなフィルタリングおよび集計機能は、大規模なログ分析と検証に理想的なツールです。

実世界での応用と限界

応用例

  • フィッシング耐性のある方法(パスキー:10進数33554432、Windows Hello for Business:10進数262144)をMicrosoft 365ログから直接特定できます。
  • ハイブリッド認証展開のステージドロールアウトの進捗状況を監視できます。

限界

  • ビットフィールドは、主要な認証が可能な方法のみをキャプチャします。Microsoft Authenticatorのプッシュ通知やソフトウェアOATHトークンなどの一般的な二次要素のみの方法は除外されます。ただし、主要な認証が可能な方法が二次要素として機能する場合、それは最初の要素とともにビットフィールドに表示されます。
  • いくつかのビット位置(例:ビット5、7、9~17、22、26)は、観測されたログに存在しないため、まだマッピングされていません。

Microsoftが新しい認証オプションを導入し続けるにつれて、マッピングを最新の状態に保つためには追加の分析が必要になります。調査チームは、コミュニティに対し、多様な環境でこれらの調査結果を検証し、未マッピングのビットのマッピングを報告し、ビットフィールドの構造を明確にする公式ドキュメントをMicrosoftに請願するよう呼びかけています。

結論

UserAuthenticationMethodビットフィールドの構造を明らかにすることで、この技術はMicrosoft 365監査ログに限定された環境における重要な可視性のギャップを埋めます。セキュリティチームは、数値データを正確な認証イベントにデコードできるようになり、Microsoft 365およびハイブリッドIDインフラストラクチャ全体でインシデント対応、コンプライアンス監査、およびリスク評価活動を強化できます。

元記事: https://gbhackers.com/microsoft-365-audit-logs/

投稿をさらに読み込む