› › ›

使用代理客户端的 Entra ID 设备代码身份验证

识别使用 Azure 代理客户端对 Entra ID 进行设备代码身份验证的行为。攻击者滥用主刷新令牌 (PRT) 来绕过多因素身份验证 (MFA) 并获得对 Azure 资源的未授权访问。PRT 用于条件访问策略中以执行基于设备的控制。泄露 PRT 允许攻击者绕过这些策略并获得未授权的访问权限。此规则检测使用设备代码身份验证和 Entra ID 代理客户端应用程序 ID (29d9ed98-a469-4536-ade2-f981bc1d605e) 的成功登录。

规则类型: 查询

规则索引:

filebeat-*
logs-azure.signinlogs-*
logs-azure.activitylogs-*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：云
数据源：Azure
数据源：Microsoft Entra ID
用例：身份和访问审计
策略：凭据访问

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

此规则可以选择性地需要来自 Azure 集成的 Azure 登录日志。确保 Azure 集成已正确设置并且正在收集所需的数据。

规则查询

编辑

 event.dataset:(azure.activitylogs or azure.signinlogs)
    and azure.signinlogs.properties.authentication_protocol:deviceCode
    and azure.signinlogs.properties.conditional_access_audiences.application_id:29d9ed98-a469-4536-ade2-f981bc1d605e
    and event.outcome:success or (
        azure.activitylogs.properties.appId:29d9ed98-a469-4536-ade2-f981bc1d605e
        and azure.activitylogs.properties.authentication_protocol:deviceCode)

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：窃取应用程序访问令牌
- ID：T1528
- 参考网址：https://attack.mitre.org/techniques/T1528/

« 端点安全通过 DSQUERY.EXE 枚举域信任 »