Hiểu rõ cách người dùng xác thực vào các dịch vụ đám mây là yếu tố then chốt cho hoạt động giám sát bảo mật hiệu quả, đặc biệt trong bối cảnh cần phân tích log Microsoft 365 chuyên sâu. Một kỹ thuật ánh xạ bitfield mới được tinh chỉnh gần đây đã giúp giải mã UserAuthenticationMethod, biến các mã số không rõ ràng trong log kiểm tra Microsoft 365 thành các mô tả dễ hiểu, có thể hành động.

Bước đột phá này trao quyền cho các đội phản ứng sự cố, cho phép họ xác định các phương thức xác thực chính ngay cả khi chỉ có log kiểm tra Microsoft 365 được cung cấp.

Thách Thức Trong Giám Sát An ninh mạng với UserAuthenticationMethod

Sự Khác Biệt Giữa Log Entra ID và Microsoft 365

Khi người dùng đăng nhập vào các dịch vụ đám mây của Microsoft, các sự kiện xác thực xuất hiện trong cả log đăng nhập Microsoft Entra và log kiểm tra Microsoft 365.

Mặc dù các log này ghi lại các sự kiện giống hệt nhau, chúng lưu trữ chi tiết xác thực ở các định dạng khác nhau.

Log Entra mô tả các phương thức bằng văn bản thuần túy, trong khi log kiểm tra Microsoft 365 chỉ báo cáo một giá trị UserAuthenticationMethod dạng số.

Ví dụ, các giá trị như 16, 272, hoặc 33554432 xuất hiện mà không có tài liệu chính thức nào giải thích ý nghĩa của chúng.

Cơ Chế Bitfield: Chìa Khóa Giải Mã Các Giá Trị Số

Các nhà phân tích tại Sekoia.io đã khám phá ra rằng các số nguyên này thực chất đại diện cho một trường bit (bitfield).

Mỗi bit được đặt (set bit) tương ứng với một phương thức xác thực chính cụ thể. Điều này đã mở ra hướng mới để giải mã UserAuthenticationMethod hiệu quả.

Bằng cách chuyển đổi giá trị số sang dạng nhị phân và xác định các bit đang hoạt động, các đội bảo mật có thể phân biệt các yếu tố đã được sử dụng trong quá trình đăng nhập.

Điều này bao gồm cả các phương thức kết hợp phức tạp như “Password Hash Sync via Staged Rollout”.

Kỹ Thuật Giải Mã UserAuthenticationMethod Chi Tiết

Quá Trình Đảo Ngược Kỹ Thuật Ánh Xạ

Để đảo ngược kỹ thuật ánh xạ này, các nhà nghiên cứu đã tương quan các mục nhập log kiểm tra Microsoft 365 với log đăng nhập Entra ID.

Họ sử dụng các định danh tương quan chung (InterSystemsId trong log kiểm tra và correlationId trong log Entra).

Log Entra cung cấp các trường authenticationMethod và authenticationMethodDetail rõ ràng. Điều này cho phép đội ngũ khớp giá trị thập phân của từng bit với phương thức tương ứng của nó.

Ví dụ, bit 4 (giá trị thập phân 16) cho biết Password Hash Sync, trong khi bit 8 (giá trị thập phân 256) biểu thị một phương thức được triển khai qua Staged Rollout.

Do đó, giá trị 272 (nhị phân 100010000) thể hiện rõ ràng “Password Hash Sync via Staged Rollout”. Điều này tiết lộ sự kết hợp chính xác của các thông tin đăng nhập chính được sử dụng. Chi tiết về nghiên cứu này có thể tìm thấy tại blog của Sekoia.io.

Áp Dụng SOL (Sekoia Operating Language) để Giải Mã

Phương pháp này được triển khai thông qua một truy vấn Sekoia Operating Language (SOL) gồm hai bước.

Đầu tiên, truy xuất các bản ghi Microsoft 365 với giá trị UserAuthenticationMethod mục tiêu.

Thứ hai, tìm nạp các sự kiện Entra ID tương quan để tổng hợp và xếp hạng các phương thức xác thực theo tần suất xuất hiện. Để hiểu rõ hơn về log đăng nhập Entra ID.

Kết quả hàng đầu thường tiết lộ yếu tố xác thực chính được ánh xạ tới mã số. Khả năng lọc và tổng hợp biểu cảm của SOL làm cho nó trở thành một công cụ lý tưởng cho việc phân tích và xác thực log quy mô lớn.

Dưới đây là một ví dụ minh họa về cấu trúc truy vấn SOL cơ bản:

( 
  (event_type = "Microsoft 365 Audit Log" AND user_authentication_method_numeric = <TARGET_NUMERIC_VALUE>) 
  OR 
  (event_type = "Entra ID Sign-in Log" AND correlation_id = <CORRELATION_ID_FROM_M365_LOG>) 
) 
| aggregate count() by authentication_method, authentication_method_detail 
| sort by count desc 
| limit 1

Lợi Ích Thực Tiễn và Ứng Dụng Trong Giám Sát Bảo Mật

Trong thực tế, việc ánh xạ này cho phép các nhà phân tích bảo mật xác định các phương thức chống lừa đảo (phishing-resistant methods) trực tiếp từ log Microsoft 365.

Các phương thức này bao gồm Passkeys (giá trị thập phân 33554432) và Windows Hello for Business (giá trị thập phân 262144).

Xác Định Phương Thức Xác Thực Mạnh Mẽ và Phát Hiện Xâm Nhập

Việc giải mã UserAuthenticationMethod còn tạo điều kiện thuận lợi cho việc giám sát tiến độ triển khai theo giai đoạn (staged rollout) đối với các triển khai xác thực lai (hybrid authentication deployments).

Điều quan trọng là trường bit chỉ ghi lại các phương thức có khả năng là chính (primary-capable methods).

Các yếu tố phụ phổ biến như thông báo đẩy Microsoft Authenticator hoặc mã thông báo OATH phần mềm thường bị loại trừ. Tuy nhiên, khi một phương thức có khả năng là chính đóng vai trò là yếu tố thứ hai, nó vẫn xuất hiện cùng với yếu tố đầu tiên trong trường bit.

Khả năng này rất quan trọng trong việc phát hiện xâm nhập và các hoạt động đáng ngờ, giúp đội ngũ an ninh mạng phản ứng kịp thời.

Hạn Chế và Hướng Phát Triển Tương Lai

Mặc dù có những tiến bộ này, một số vị trí bit (ví dụ: bit 5, 7, 9–17, 22, 26) vẫn chưa được ánh xạ do chúng không xuất hiện trong các log được quan sát.

Khi Microsoft tiếp tục giới thiệu các tùy chọn xác thực mới, việc phân tích bổ sung sẽ được yêu cầu để giữ cho ánh xạ này luôn cập nhật.

Nhóm nghiên cứu kêu gọi cộng đồng xác thực những phát hiện này trong các môi trường đa dạng, báo cáo ánh xạ cho các bit chưa được ánh xạ, và đề nghị Microsoft cung cấp tài liệu chính thức làm rõ cấu trúc của trường bit.

Bằng cách tiết lộ cấu trúc của trường bit UserAuthenticationMethod, kỹ thuật này đã lấp đầy một lỗ hổng hiển thị quan trọng cho các môi trường chỉ giới hạn trong log kiểm tra Microsoft 365.

Các đội bảo mật giờ đây có thể giải mã UserAuthenticationMethod thành các sự kiện xác thực chính xác, nâng cao khả năng phản ứng sự cố, kiểm toán tuân thủ và đánh giá rủi ro trên toàn bộ hạ tầng danh tính Microsoft 365 và hybrid.