› › ›

Entra ID 设备代码认证与代理客户端

识别使用 Entra ID 的 Azure 代理客户端进行的设备代码身份验证。攻击者滥用主刷新令牌 (PRT) 来绕过多因素身份验证 (MFA)，并获得对 Azure 资源的未授权访问。PRT 用于条件访问策略，以强制执行基于设备的控制。泄露 PRT 会使攻击者绕过这些策略并获得未经授权的访问权限。此规则检测使用 Entra ID 代理客户端应用程序 ID (29d9ed98-a469-4536-ade2-f981bc1d605e) 通过设备代码身份验证进行的成功登录。

规则类型: 查询

规则索引:

filebeat-*
logs-azure.signinlogs-*
logs-azure.activitylogs-*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式，另请参见 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 云
数据源: Azure
数据源: Microsoft Entra ID
用例: 身份和访问审计
战术: 凭证访问

版本: 1

规则作者:

Elastic

规则许可: Elastic License v2

设置

编辑

此规则可以选择性地要求来自 Azure 集成的 Azure 登录日志。请确保正确设置了 Azure 集成，并且正在收集所需的数据。

规则查询

编辑

 event.dataset:(azure.activitylogs or azure.signinlogs)
    and azure.signinlogs.properties.authentication_protocol:deviceCode
    and azure.signinlogs.properties.conditional_access_audiences.application_id:29d9ed98-a469-4536-ade2-f981bc1d605e
    and event.outcome:success or (
        azure.activitylogs.properties.appId:29d9ed98-a469-4536-ade2-f981bc1d605e
        and azure.activitylogs.properties.authentication_protocol:deviceCode)

框架: MITRE ATT&CK^TM

战术
- 名称: 凭证访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 窃取应用程序访问令牌
- ID: T1528
- 参考 URL: https://attack.mitre.org/techniques/T1528/

« 端点安全通过 DSQUERY.EXE 枚举域信任 »