Stats
Actions
Tags
Detects lateral movement in Azure AD/Entra ID environments using Microsoft Graph API audit logs, Azure Sentinel KQL queries, and login anomaly correlations. Identifies privilege escalation, token theft, and cross-tenant transfers for threat hunting.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:detecting-azure-lateral-movementThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Azure AD/Entra ID 中的横向移动与本地环境不同。攻击者通过 OAuth 应用程序同意授权、服务主体滥用、跨租户访问策略和被盗刷新令牌进行枢转,而不是 SMB/RDP 连接。检测需要使用 Microsoft Sentinel 中的 KQL 查询关联 Microsoft Graph API 审计日志、Azure AD 登录日志和 Entra ID 保护风险事件。本 skill 涵盖为常见 Azure 横向移动技术构建检测分析,包括应用程序模拟、邮箱委派滥用和条件访问策略绕过。
Azure AD/Entra ID 中的横向移动与本地环境不同。攻击者通过 OAuth 应用程序同意授权、服务主体滥用、跨租户访问策略和被盗刷新令牌进行枢转,而不是 SMB/RDP 连接。检测需要使用 Microsoft Sentinel 中的 KQL 查询关联 Microsoft Graph API 审计日志、Azure AD 登录日志和 Entra ID 保护风险事件。本 skill 涵盖为常见 Azure 横向移动技术构建检测分析,包括应用程序模拟、邮箱委派滥用和条件访问策略绕过。
启用诊断设置,将 Azure AD 日志流式传输到 Log Analytics:
在 Sentinel 中创建 KQL 分析规则,用于:
通过在时间窗口内将登录异常与目录更改相关联,将多个低置信度指标链接为高置信度横向移动检测。
创建 Sentinel 手册(Logic Apps),自动撤销可疑的 OAuth 授权、禁用被入侵的服务主体并强制执行升级身份验证。
JSON 报告,包含检测到的横向移动指标、关联的事件链、受影响的身份以及带 MITRE ATT&CK 技术映射的建议遏制操作。
npx claudepluginhub killvxk/cybersecurity-skills-zhDetect lateral movement in Azure AD/Entra ID using Graph API audit logs, Sentinel KQL queries, and sign-in anomaly correlation to identify privilege escalation and token theft.
Detects lateral movement in Azure AD/Entra ID using Microsoft Graph API audit logs, Azure Sentinel KQL queries, and sign-in anomaly correlations to identify privilege escalation, token theft, and pivoting.
Detects lateral movement in Azure AD/Entra ID using Microsoft Graph API audit logs, Azure Sentinel KQL queries, and sign-in anomaly correlations to identify privilege escalation, token theft, and pivoting.