首页
/ Elastic Detection Rules项目中的Azure AD异常令牌检测规则解析

Elastic Detection Rules项目中的Azure AD异常令牌检测规则解析

2025-07-03 14:24:52作者:薛曦旖Francesca

背景与威胁场景

在云身份认证安全领域,Microsoft Entra ID(原Azure AD)的认证机制一直是攻击者重点研究的对象。近期安全研究人员发现了一种新型攻击手法:攻击者通过钓鱼获取授权码后,利用Microsoft Authentication Broker(MAB)客户端向Azure设备注册服务(ADRS)发起带有adrs_access作用域的刷新令牌请求,试图实现持久化访问。

技术原理分析

这种攻击的核心在于滥用OAuth 2.0的刷新令牌机制和ADRS服务特性。攻击者首先通过钓鱼获取用户的授权码,然后将其兑换为访问令牌和刷新令牌。随后,攻击者使用这些令牌通过Microsoft Authentication Broker(客户端ID:29d9ed98-a469-4536-ade2-f981bc1d605e)向ADRS服务(资源ID:01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9)发起请求,请求中包含特殊的adrs_access作用域。

ADRS(设备注册服务)是Azure中用于管理设备注册和加入的功能组件。攻击者获取adrs_access权限后,可以执行设备注册操作,为后续持久化访问创造条件。

检测规则详解

Elastic Detection Rules项目中提出的检测规则采用KQL语法,主要检测以下几个关键特征:

  1. 数据源限定:专门筛选azure.signinlogs数据集,聚焦Azure AD登录日志

  2. 客户端标识:匹配Microsoft Authentication Broker的标准客户端ID

  3. 目标服务:限定为ADRS服务的资源ID

  4. 认证类型:筛选非交互式登录(NonInteractiveUserSignInLogs),这是使用刷新令牌的典型特征

  5. 作用域检测:检查认证处理详情中是否包含adrs_access特殊作用域

  6. 令牌类型确认:明确要求令牌类型为refreshToken

  7. 用户类型过滤:仅关注常规成员账户,排除访客账户

安全意义与响应建议

这类检测规则的价值在于能够发现潜在的OAuth滥用行为。在正常业务场景中,普通用户很少会直接使用刷新令牌访问ADRS服务,特别是带有adrs_access作用域的请求更是罕见。

安全团队在发现此类告警后,建议采取以下响应措施:

  1. 立即审查相关用户账户的活动历史,确认是否存在异常登录

  2. 检查目标租户中的设备注册记录,确认是否有可疑设备被加入

  3. 必要时撤销相关用户的会话和刷新令牌

  4. 对受影响用户进行安全意识教育,防范钓鱼攻击

规则优化方向

在实际部署中,可以考虑以下优化:

  1. 增加频率检测:短时间内多次此类请求更可疑

  2. 结合地理位置:来自异常地区的请求风险更高

  3. 关联设备信息:检查请求是否来自用户常用设备

  4. 添加白名单机制:排除已知的服务账号

通过持续优化这类检测规则,企业可以更好地防御基于OAuth的复杂攻击,保护云身份安全。

登录后查看全文
热门项目推荐

热门内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
858
511
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
258
298
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
kernelkernel
deepin linux kernel
C
22
5