首次通过 DeviceCode 协议进行 Entra ID 身份验证
编辑首次通过 DeviceCode 协议进行 Entra ID 身份验证
编辑识别在过去 14 天内首次观察到用户使用 deviceCode 协议进行身份验证的情况。攻击者可能会滥用设备代码身份验证流程来网络钓鱼用户并窃取访问令牌以冒充受害者。设备代码本质上应该只在登录没有键盘的设备时使用,因为在这种情况下很难输入电子邮件和密码。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-azure.signinlogs-*
- logs-azure.activitylogs-*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:Azure
- 数据源:Microsoft Entra ID
- 用例:身份和访问审计
- 战术:凭证访问
版本: 1
规则作者:
- Elastic
- Matteo Potito Giorgio
规则许可: Elastic License v2
设置
编辑此规则可以选择性地要求来自 Azure 集成的 Azure 登录日志。确保正确设置 Azure 集成,并且正在收集所需的数据。
规则查询
编辑 event.dataset:(azure.activitylogs or azure.signinlogs) and
(azure.signinlogs.properties.authentication_protocol:deviceCode or azure.activitylogs.properties.authentication_protocol:deviceCode) and event.outcome:success
框架: MITRE ATT&CKTM
-
战术
- 名称:凭证访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取应用程序访问令牌
- ID: T1528
- 参考 URL: https://attack.mitre.org/techniques/T1528/