是否可以使用Graph API获取个人高级Microsoft帐户的用户事件数据 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

Office开发者计划-永久白嫖Office365

）自动续订自动续期 Office 365开发者订阅默认是90天有效期，到期须续期才可继续使用，微软会验证账户内是否应用了所提供的相关API应用、服务等以此来检测开发者身份 ...a.Azure应用注册使用开发者账号（xxx@xxx.onmicrosoft.com）登录Microsoft Azure（或者直接进行Azure应用注册）应用注册注册应用填充名称、受支持的帐户类型...API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择 “委托的权限”配置（用户登录）（选择Calendars->Calendars.Read...，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft Graph API 发出请求的工具：Postman&Microsoft Graph API使用 ...c.Microsoft Graph 快速入门示例 Microsoft Graph入门： a.选择语言或平台 b.获取应用 ID（客户端 ID） c.生成示例 d.登录，然后查看日历上的事件 PHP

11.4K3 2

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

研究表明，仅依赖用户意识培训已不足以应对此类利用合法认证界面的高级钓鱼手段，必须通过技术控制与策略配置协同强化OAuth授权流的安全边界。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...)print(mail_resp.json())实验表明，在默认配置下，任何Azure AD用户均可授权第三方应用（包括个人注册应用）访问其数据，除非组织明确限制应用同意策略。...4.2 实施严格的用户与管理员同意策略Azure AD允许管理员配置“用户可以同意应用访问其数据”的策略。

2491 0

您找到你想要的搜索结果了吗？

是的

没有找到

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...· 对所有同意的应用程序查询企业的用户。 · 记录所有用户同意事件并报告可疑活动。

2.5K2 0

使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器

在活动目录中，可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式的诱饵帐户。可以添加相关详细信息，使系统、服务、组等看起来更逼真。...如果它被禁用，我们可以使用 auditpol 命令在域控制器上启用它，如下所示：以下是启用此所需的高级审计的命令： auditpol /set /subcategory:”Directory Service...让我们首先从诱饵用户对象开始。创建诱饵用户对象我们将从 Active Directory 用户和计算机 MMC（Microsoft 管理控制台）创建诱饵用户对象并为它们启用审核。...为此，请执行以下步骤：右键单击用户对象-属性-转到安全>高级>审核并添加新的审核条目添加一个新的校长“每个人” 从“适用于”下拉菜单中，选择“仅此对象” 取消选中所有主要权限。...为此，以下是 AD 用户和计算机 MMC 的步骤：右击计算机对象——属性——进入安全>高级>审计并添加一个新的审计条目添加一个新的校长“每个人” 从“适用于”下拉菜单中，选择“仅此对象” 取消选中所有主要权限

3.5K2 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

本文以该事件为切入点，系统剖析电话钓鱼攻击在现代高级持续性威胁（APT）中的战术演进、心理操控机制及其绕过多因素认证（MFA）的能力。...文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...Microsoft Authenticator 通知并点击 Approve”；横向移动：使用获取的会话访问 Power BI 或自定义校友数据库，导出 CSV 文件；数据外传：通过 OneDrive 共享链接或...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。

2380 0

星巴克新漏洞：可访问1亿客户记录

如果我们发现这样的API调用，那么尝试遍历有效负载并发送其他数据（实际上是在用户输入中接收）可能会更有帮助。 Sam仔细留意这个App，发现了更多的API调用。...“ / search / v1 / accounts”可以访问所有星巴克帐户的Microsoft Graph实例。...随后，sam开始进一步探索该服务，以使用Microsoft Graph功能进行确认。...攻击者可以通过添加“ $ skip”和“ $ count”之类的参数枚举所有用户帐户来窃取此数据。...此外，要查明特定的用户帐户，攻击者可以使用“ $ filter”参数： GET /bff/proxy/stream/v1/users/me/streamItems/web\..\.\..\.\..\.\

1.3K2 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...注册过程无需特殊权限，任何拥有个人Microsoft账户的用户均可完成。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2671 0

快速提升Entra ID安全性的实用指南

Tier 0 Entra ID角色有五个（5）角色应在最高级别（如Tier 0）受到保护。确保这些角色的成员被要求始终使用MFA（最好是FIDO2），并且成员资格非常有限。...MMP在引入租户90天后开启（设置为启用）目前专注于3个领域：访问Microsoft管理员门户的管理员的MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用...细粒度委托管理权限（GDAP）保护Entra Connect危害Entra Connect：危害Active Directory获取Entra Connect服务器（或SQL数据库）的管理员权限OU管理员权限本地管理员权限...GPO修改权限获取其他系统上的本地管理员密码（当不唯一时）获取管理系统的控制权Microsoft SCCM（或类似）漏洞扫描器危害VMware（或其他虚拟平台）从Entra Connect到Active..."只有分配给特定管理员角色的用户可以邀请访客用户"将用户同意设置设置为"让Microsoft管理您的同意设置（推荐）"审查Tier 0角色成员资格，并确保成员是管理员帐户，是PIM符合条件的，并且不是从本地同步的如果您使用角色可分配组

2081 0

directshow使用说明_Process Monitor

它从外部设备获取原始数据并作简单处理,再将数据往下一级滤波器送。外部设备可以是文件系统、Internet 数据流、视频采集卡等。...2.2、滤波器图(Filter Graph) 任何用DirectShow开发的应用程序,都必须创建多个滤波器并进行恰当的连接,于是数据流就可以从源滤波器经传送到 Render Filter 输出,被用户所使用...应用DirectShow创建 Filter Graph可以完全不用用户操心系统使用了哪一类滤波器,滤波器是怎样连接的。...3.5 　使用 DirectShow的事件响应机制 DirectShow的事件响应机制是Filter Graph Manager与用户进行交互的接口,DirectShow可以处理的可以是一些事先可以预期的事件...有的事件可以由 Filter Graph Manager自己处理,但如果 Filter Graph Manager 自己无法处理这些事件,它就把事件的通知放在事件队列里。

2K2 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...2024年以来，Barracuda等安全厂商陆续披露多起高级OAuth钓鱼事件，攻击者不再试图窃取密码，而是诱导用户向恶意注册的应用授予权限，从而直接获取合法令牌。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

2861 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

，攻击者立即调用Microsoft Graph API遍历收件箱：import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs....以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...以下为基于Microsoft Purview审计日志的异常共享检测逻辑：import pandas as pd# 假设audit_logs为从Microsoft 365获取的共享事件列表df = pd.DataFrame...即使用户被诱导至仿冒页面，浏览器不会提示签名，攻击者无法获取有效凭证。更重要的是，无密码认证不产生可被代理复用的会话Cookie，从根本上消除AiTM的攻击面。...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3381 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

摘要近年来，设备代码钓鱼（Device Code Phishing）作为一种绕过多因素认证（MFA）的高级社会工程手段，在Microsoft 365环境中迅速扩散。...研究揭示，此类攻击通过滥用OAuth 2.0设备授权流程，在用户主动授权的掩护下获取长期有效的刷新令牌，从而规避传统基于密码泄露或会话劫持的检测机制。...其优势在于：无需漏洞利用或密码爆破，成功率高；绕过基于短信或推送通知的MFA；获取的refresh_token可用于长期驻留，便于部署Cobalt Strike或Rclone等工具进行数据外泄。...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...，攻击者可调用Microsoft Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f

2301 0

Windows 操作系统安全配置实践(安全基线)

guest账号是否是锁定 3.查看是否存在普通权限用户有长期不使用的 4.每台PC或者服务器密码设置不能一致加固方法: 使用"net user 用户名 /del"命令删除账号使用"net user...: 策略修改后需要执行 gpupdate /force 立即生效 1.3 安全审计 1.3.1 增强审核策略操作目的: a)对系统事件进行审核，在日后出现故障时用于排查故障 b)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户...； c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏感数据的记录保存时间根据等保要求不能少于半年检查方法: 开始->运行->secpol.msc -...b)记录管理员每次登录的时间日期及其通信的程序端口 c)为了后面的追踪溯源攻击者检查方法: 开始->计算机管理->本地用户和组->用户->属性->配置文件->查看是否存在配置文件加固方法: 下面的方式只是供大家参考你可以使用...“Windows防火墙”的‘高级’选项卡RCMP设置，“允许传入回显请求”打上钩， 2.个人电脑 (1)XP:445高危端口封闭注册表路径：HKEY_LOCAL_MACHINE\System\CurrentControlSet

6.6K2 1

教育信息系统中的钓鱼攻击识别与防御机制研究——以滑铁卢地区教育局事件为例

尽管未造成大规模数据泄露，但事件暴露出教育机构在邮件安全边界防护、内部威胁感知及应急响应流程中的系统性缺陷。...一旦用户输入凭证并授权，攻击者即可获取其邮箱访问权限，进而发起横向移动（lateral movement），向联系人列表中的其他师生发送次级钓鱼邮件，形成传播链。...然而，WRDSB事件中攻击者使用全新注册域名而非伪造wrdsb.ca，故DMARC策略无法触发。反垃圾邮件网关：依赖关键词匹配与URL黑名单。但攻击初期使用的短链接及动态生成页面难以被及时收录。...通过Microsoft Graph API定期拉取用户授权的应用列表，比对白名单。若发现未经批准的第三方应用请求Mail.Read、Mail.Send等权限，自动撤销授权并告警。...6 讨论本框架的有效性依赖于几个前提：一是教育机构具备基础的日志采集与API集成能力；二是管理层愿意投入资源维护白名单与风险规则库；三是用户接受一定程度的交互干预（如二次验证）。

2011 0

通过ACLs实现权限提升

添加新用户来枚举域和升级到域管理员，以前ntlmrelayx中的LDAP攻击会检查中继帐户是否是域管理员或企业管理员组的成员，如果是则提升权限，这是通过向域中添加一个新用户并将该用户添加到域管理员组来实现的...，之后枚举中继帐户的权限这将考虑中继帐户所属的所有组(包括递归组成员)，一旦列举了权限，ntlmrelayx将检查用户是否有足够高的权限来允许新用户或现有用户的权限提升，对于这种权限提升有两种不同的攻击...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户，则在可以执行ACL攻击的情况下，该用户将被授予复制权限，如果使用组攻击则该用户将被添加到高权限组，如果没有指定现有用户...，则考虑创建新用户的选项，这可以在用户容器(用户帐户的默认位置)中，也可以在OrganizationalUnit中，例如：it部门成员有人可能已经注意到我们在这里提到了中继帐户，而不是中继用户，这是因为攻击也针对具有高特权的计算机帐户...，可以使用PowerShell查询Windows事件日志，因此这里有一个从ID为5136的安全事件日志中获取所有事件的一行程序 [code lang=powershell] Get-WinEvent -

3.3K3 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

三者之间形成高度协同的攻击闭环：钓鱼获取凭证 → 凭证用于云环境横向移动 → 快速部署勒索载荷或窃取敏感数据。...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...API或REST接口横向移动；部署勒索载荷或导出数据。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...Graph API /users/{id}/revokeSignInSessions；发送Teams通知至用户及IT支持；创建Jira工单要求用户完成安全培训；更新IAM策略，强制启用FIDO2。

2561 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。...小时内被审计脚本自动撤销；0起数据泄露事件。

2441 0

威胁狩猎系列文章之一到三

注意：基于 Netflow 数据和授权/合法 RDP 子网的检测仍然相关如果您希望在不必从许多成员服务器和端点收集登录事件的情况下确定 RDP 活动的基线，那么这是正确的做法。...如果指定用户名而非计算机，PsLoggedOn 将搜索网络邻居中的计算机，并告诉您该用户当前是否已登录。...对于名称为用户SID（安全标识符）的每个密钥，PsLoggedOn 会查找相应的用户名并显示它。要确定谁通过资源共享登录到计算机，PsLoggedOn 使用 NetSessionEnum API。...IPC $ SMB 共享暴露给 srvsvc 命名管道的连接） 3、所有源帐户，源IP和源端口号都在1分钟内完成可以从 Windows 安全事件日志 5145 获取对 winreg 和 srvsvc...的远程访问：检查网络共享对象以查看是否可以授予客户端所需的访问权限[需要启用“对象访问”>“详细文件共享”]。

2K3 0

使用 Semantic Kernel 实现 Microsoft 365 Copilot 架构

这些指令不会作为提示直接发送到 GPT-4，而是通过 Microsoft Graph 提供必要的上下文。这称为接地，如果是电子邮件回复提示，例如，您的电子邮件帐户信息。...2、使用Semantic Kernel实现在Semantic Kernel的示例中，可以通过内置的 Microsoft Graph 连接器在上下文中添加的：连接器是技能的一部分，您还可以使用Memory...对于 Microsoft 365 应用（如商务聊天）和跨用户数据（日历、电子邮件、聊天、文档、会议和联系人）工作的应用），后端需要一个规划器来确定用户的问题意向，将其分解为任务，并将其与操作相关联。...通过我们的完整示例，你可以利用高级功能，例如多个对话主题、语音识别、文件上传，通过你自己的最新信息使聊天更智能，持久内存存储允许机器人在每次使用时变得越来越智能，甚至可以下载机器人与他人共享，加入他们的对话...改进的可访问性：通过语音识别和文件上传，您的聊天机器人可以为用户提供更准确和个性化的帮助。例如，难以浏览网站的患者可以更轻松地使用聊天，并快速有效地接收所需的信息。

2.1K3 0

可能是Salesforce与Microsoft Dynamics 365的最全面的比较

此版本的用户可以使用全部Dynamics的功能，没有限制。数据中心和状态 Salesforce Salesforce的服务器位于多个顶级全球数据中心。...用户可以选择任何系统视图或个人视图，然后可选择固定视图以便后续查看。命令栏右侧的“创建”按钮允许用户快速创建新记录，而无需先导航到实体。 ?...Microsoft Dynamics 365 Microsoft允许用户设置许多个人选项，包括其默认窗格和选项卡，其时区和货币。 ? 点击配置和自定义可以添加到每个应用程序的字段类型有细微差别。...高级开发和API 通常，企业需要对开箱即用的CRM配置进行修改，这已经能超出了配置所能完成的任务。 ISV在CRM平台上可构建整个应用程序。以下是Microsoft和Salesforce提供的概述。...Microsoft Dynamics 365的高级查找允许用户搜索实体内以及跨实体的任何字段。高级查找只能使用一次或保存为视图供后续使用。 ? 重复检测和合并重复记录会降低用户体验。

8.8K4 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭