› › ›

使用代理客户端进行 Entra ID 设备代码身份验证

使用代理客户端进行 Entra ID 设备代码身份验证编辑

识别使用 Azure 代理客户端进行 Entra ID 的设备代码身份验证。攻击者滥用主刷新令牌 (PRT) 来绕过多重身份验证 (MFA) 并获得对 Azure 资源的未授权访问。PRT 用于条件访问策略中以强制执行基于设备的控制。泄露 PRT 允许攻击者绕过这些策略并获得未授权访问。此规则使用 Entra ID 代理客户端应用程序 ID (29d9ed98-a469-4536-ade2-f981bc1d605e) 检测使用设备代码身份验证的成功登录。

规则类型：查询

规则索引:

filebeat-*
logs-azure.signinlogs-*
logs-azure.activitylogs-*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考资料:

标签:

域：云
数据源：Azure
数据源：Microsoft Entra ID
用例：身份和访问审计
策略：凭据访问

版本: 1

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

设置编辑

此规则可以选择性地要求来自 Azure 集成的 Azure 登录日志。确保 Azure 集成已正确设置，并且正在收集所需数据。

规则查询编辑

 event.dataset:(azure.activitylogs or azure.signinlogs)
    and azure.signinlogs.properties.authentication_protocol:deviceCode
    and azure.signinlogs.properties.conditional_access_audiences.application_id:29d9ed98-a469-4536-ade2-f981bc1d605e
    and event.outcome:success or (
        azure.activitylogs.properties.appId:29d9ed98-a469-4536-ade2-f981bc1d605e
        and azure.activitylogs.properties.authentication_protocol:deviceCode)

框架：MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：窃取应用程序访问令牌
- ID：T1528
- 参考 URL：https://attack.mitre.org/techniques/T1528/

« 端点安全通过 DSQUERY.EXE 枚举域信任 »