TL;DR:PowerShell 工具,用于枚举 Entra ID 对象、分配并识别高权限对象或风险配置。
https://github.com/CompassSecurity/EntraFalcon
Entra ID 环境可以包含数千个对象(用户、组、服务主体等),每个对象都具有独特的属性和复杂的关系。虽然通过 Entra 门户进行手动审核在较小的环境中可能可行,但在较大、复杂的环境中,它们会成为一项繁琐的任务。
已经有几种免费工具可用于枚举 Entra ID 数据。但是,其中一些通常只关注转储数据,而没有为识别高权限对象或潜在风险对象配置提供太多支持。其他工具不会枚举某些对象、属性或分配,例如管理单元、应用程序应用程序锁定配置、M365 组或 Privileged Identity Management (PIM) 符合条件的分配。
这就是我们构建 EntraFalcon 的原因,这是一个 PowerShell 工具,旨在帮助安全分析师、渗透测试人员和系统管理员审查 Entra ID 环境。它突出显示了经常被忽视的潜在风险对象配置和特权分配。
主要特点
- 枚举 Entra ID 对象,包括:
-
条件访问策略
-
角色分配:Entra 角色、Azure 角色(活动且符合 PIM 条件)
-
用户、组(包括符合 PIM 条件的分配)、应用注册、企业应用、托管标识、管理单元
-
-
将简单的评分模型应用于每个对象,分配影响、可能性和风险评分,以帮助确定结果的优先级。有趣的配置或高度提升的权限会以警告突出显示 -
生成可排序、可筛选和可导出的交互式 HTML 报表 - 使用简单灵活:
-
绕过 Microsoft Graph API 同意 - 使用具有预先同意的 API 权限的 Microsoft 第一方应用程序进行身份验证
-
支持不同身份验证流程的内置身份验证
-
无依赖项:纯 PowerShell 与 PowerShell 5.1 和 7(Windows 和 Linux)兼容
-
示例发现
EntraFalcon 有助于识别的一些示例:
-
对高权限组或应用程序具有控制权的用户 -
具有过多权限的外部或内部企业应用程序(例如,Microsoft Graph API、Entra/Azure 角色分配) -
直接在资源上分配了 Azure IAM 角色的用户 -
从本地目录同步的高权限帐户 -
非活动账户或没有 MFA 功能的用户 -
敏感分配中使用的不受保护的组(例如,条件访问排除项、订阅所有权或特权组的合格成员) -
条件访问策略缺失或配置错误 - 例如将用户风险和登录风险合并到单个策略中。
报告样本
所需权限
要从 Entra ID 收集数据,执行该工具的用户至少需要全局读取者权限。
若要包含 Azure IAM 数据(可选但推荐),每个相关的管理组或订阅都需要 Reader 角色。
局限性
虽然 EntraFalcon 有助于发现潜在问题,但手动分析对于充分了解每个发现的影响仍然至关重要。此外,提供的风险评分旨在作为指标,而不是确定性的评估——作为更广泛调查的一部分,它们应该在上下文中进行审查。
开始使用
要开始使用 EntraFalcon,请访问我们的 GitHub 存储库以获取使用说明、示例和其他详细信息。
原文始发于微信公众号(安全狗的自我修养):EntraFalcon 简介 – 枚举 Entra ID 对象和分配的工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论