Decodificando logs de auditoria do Microsoft 365 usando mapeamento de campo de bits: um relatório de investigação – Against Invaders – Notícias de CyberSecurity para humanos.

Decodificando logs de auditoria do Microsoft 365 usando mapeamento de campo de bits: um relatório de investigação - Against Invaders - Notícias de CyberSecurity para humanos.

Compreender exatamente como os usuários se autenticam nos serviços em nuvem é crucial para um monitoramento de segurança eficaz.

Uma técnica de mapeamento de campo de bits recentemente refinada decodifica o opaco UserAuthenticationMethod valores nos logs de auditoria do Microsoft 365, transformando códigos numéricos em descrições acionáveis ​​e legíveis por humanos.

Essa inovação permite que os responsáveis ​​pela resposta a incidentes identifiquem métodos de autenticação primários, mesmo quando apenas os logs de auditoria do Microsoft 365 estão disponíveis.

Quando um usuário entra nos serviços de nuvem da Microsoft, os eventos de autenticação aparecem nos logs de entrada do Microsoft Entra e nos logs de auditoria do Microsoft 365.

Embora esses logs capturem eventos idênticos, eles armazenam detalhes de autenticação em formatos diferentes: os logs de entrada descrevem métodos em texto simples, enquanto os logs de auditoria do Microsoft 365 relatam apenas um número UserAuthenticationMethod valores como 16, 272 ou 33554432, sem documentação oficial explicando seu significado.

Analistas da Sekoia.io descoberto que esses inteiros realmente representam um campo de bits, onde cada bit definido corresponde a um método de autenticação primário específico.

Ao converter o valor numérico em binário e identificar os bits ativos, as equipes de segurança podem discernir quais fatores foram usados ​​durante o login, incluindo métodos combinados complexos, como “Sincronização de hash de senha por meio de implementação em etapas”.

Logs do Microsoft 365 e de ID de entrada

Para fazer engenharia reversa do mapeamento, os pesquisadores correlacionaram Microsoft 365 entradas de log de auditoria com logs de login do Entra ID compartilhando os mesmos identificadores de correlação (InterSystemsId em logs de auditoria e correlaçãoId em logs Entra).

Os logs de entrada fornecem campos authenticationMethod e authenticationMethodDetail claros, permitindo que a equipe corresponda o valor decimal de cada bit ao seu método correspondente.

Por exemplo, o bit 4 (decimal 16) indica Password Hash Sync, enquanto o bit 8 (decimal 256) significa um método implantado por meio do Staged Rollout.

Um valor de 272 (binário 100010000) representa, portanto, inequivocamente “Sincronização de hash de senha por meio de implementação em etapas”, revelando a combinação exata de credenciais primárias usadas.

Essa metodologia é implementada por meio de uma consulta Sekoia Operating Language (SOL) em duas etapas: primeiro, recupere os registros do Microsoft 365 com o destino UserAuthenticationMethod valor; segundo, buscar correlacionado ID de entrada eventos para agregar e classificar métodos de autenticação por ocorrência.

O resultado principal normalmente revela o fator de autenticação primário mapeado para o código numérico. Os expressivos recursos de filtragem e agregação do SOL o tornam uma ferramenta ideal para análise e validação de logs em grande escala.

Aplicação e limitações no mundo real

Na prática, esse mapeamento permite que os analistas de segurança identifiquem métodos resistentes ao phishing, como chaves de acesso (decimal 33554432) e Windows Hello para Empresas (decimal 262144), diretamente dos logs do Microsoft 365.

Também facilita o monitoramento do progresso da implementação em etapas para implantações de autenticação híbrida. É importante ressaltar que o campo de bits captura apenas métodos com capacidade primária; fatores secundários comuns, como Autenticador Microsoft notificações push ou tokens OATH de software são excluídos. Entretanto, quando um método com capacidade primária serve como um segundo fator, ele ainda aparece ao lado do primeiro fator no campo de bits.

Apesar desses avanços, diversas posições de bits (por exemplo, bits 5, 7, 9–17, 22, 26) permanecem não mapeadas devido à sua ausência nos logs observados.

À medida que a Microsoft continua a introduzir novas opções de autenticação, serão necessárias análises adicionais para manter o mapeamento atualizado.

A equipe de investigação convida a comunidade a validar essas descobertas em diversos ambientes, relatar mapeamentos para bits não mapeados e solicitar à Microsoft documentação oficial que esclareça a estrutura do campo de bits.

Ao revelar a estrutura do UserAuthenticationMethod bitfield, essa técnica preenche uma lacuna crítica de visibilidade para ambientes limitados aos logs de auditoria do Microsoft 365.

As equipes de segurança agora podem decodificar valores numéricos em eventos de autenticação precisos, melhorando a resposta a incidentes, a auditoria de conformidade e as atividades de avaliação de risco no Microsoft 365 e em infraestruturas de identidade híbrida.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.