通过 DeviceCode 协议首次出现 Entra ID 身份验证
编辑通过 DeviceCode 协议首次出现 Entra ID 身份验证
编辑识别在过去 14 天内首次观察到用户使用 deviceCode 协议进行身份验证的情况。攻击者可能会滥用设备代码身份验证流程来进行网络钓鱼,窃取访问令牌并冒充受害者。本质上,设备代码仅应在登录没有键盘的设备时使用,因为在这些设备上难以输入电子邮件和密码。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-azure.signinlogs-*
- logs-azure.activitylogs-*
严重性: 中等
风险评分: 47
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域: 云
- 数据源: Azure
- 数据源: Microsoft Entra ID
- 用例: 身份和访问审计
- 战术: 凭据访问
版本: 1
规则作者:
- Elastic
- Matteo Potito Giorgio
规则许可证: Elastic License v2
设置
编辑此规则可以选择性地需要来自 Azure 集成的 Azure 登录日志。确保 Azure 集成已正确设置,并且正在收集所需的数据。
规则查询
编辑 event.dataset:(azure.activitylogs or azure.signinlogs) and
(azure.signinlogs.properties.authentication_protocol:deviceCode or azure.activitylogs.properties.authentication_protocol:deviceCode) and event.outcome:success
框架: MITRE ATT&CKTM
-
战术
- 名称: 凭据访问
- ID: TA0006
- 参考网址: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 窃取应用程序访问令牌
- ID: T1528
- 参考网址: https://attack.mitre.org/techniques/T1528/