Detects lateral movement in Azure AD/Entra ID environments using Microsoft Graph API audit logs, Azure Sentinel KQL queries, and login anomaly correlations. Identifies privilege escalation, token theft, and cross-tenant transfers for threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Azure AD/Entra ID 中的横向移动与本地环境不同。攻击者通过 OAuth 应用程序同意授权、服务主体滥用、跨租户访问策略和被盗刷新令牌进行枢转,而不是 SMB/RDP 连接。检测需要使用 Microsoft Sentinel 中的 KQL 查询关联 Microsoft Graph API 审计日志、Azure AD 登录日志和 Entra ID 保护风险事件。本 skill 涵盖为常见 Azure 横向移动技术构建检测分析,包括应用程序模拟、邮箱委派滥用和条件访问策略绕过。
Detects lateral movement in Azure AD/Entra ID using Graph API audit logs, Sentinel KQL queries, and sign-in correlations for privilege escalation, token theft, and pivoting.
Detects lateral movement in Azure AD/Entra ID using Microsoft Graph API audit logs, Azure Sentinel KQL queries, and sign-in anomaly correlations to identify privilege escalation, token theft, and pivoting.
Detects and investigates Azure service principal abuse in Microsoft Entra ID, including privilege escalation, credential addition, role assignments, consent bypass, and enumeration using KQL for Sentinel and SPL for Splunk.
Share bugs, ideas, or general feedback.
Azure AD/Entra ID 中的横向移动与本地环境不同。攻击者通过 OAuth 应用程序同意授权、服务主体滥用、跨租户访问策略和被盗刷新令牌进行枢转,而不是 SMB/RDP 连接。检测需要使用 Microsoft Sentinel 中的 KQL 查询关联 Microsoft Graph API 审计日志、Azure AD 登录日志和 Entra ID 保护风险事件。本 skill 涵盖为常见 Azure 横向移动技术构建检测分析,包括应用程序模拟、邮箱委派滥用和条件访问策略绕过。
启用诊断设置,将 Azure AD 日志流式传输到 Log Analytics:
在 Sentinel 中创建 KQL 分析规则,用于:
通过在时间窗口内将登录异常与目录更改相关联,将多个低置信度指标链接为高置信度横向移动检测。
创建 Sentinel 手册(Logic Apps),自动撤销可疑的 OAuth 授权、禁用被入侵的服务主体并强制执行升级身份验证。
JSON 报告,包含检测到的横向移动指标、关联的事件链、受影响的身份以及带 MITRE ATT&CK 技术映射的建议遏制操作。