detecting-oauth-token-theft
作者 mukul975detecting-oauth-token-theft 用于调查 Microsoft Entra ID 和 M365 中的 OAuth 令牌盗用、重放和会话劫持。可将此 detecting-oauth-token-theft 技能用于安全审计、事件响应和加固评审。它重点关注登录异常、可疑权限范围、新设备以及遏制措施。
此技能得分 78/100,说明它是目录用户的一个稳妥候选项:触发条件明确,具备真实的工作流内容,并包含检测指导和配套代码。用户仍应预期存在一些实现缺口,尤其是在配置和端到端运维接入方面,但如果你在 Microsoft Entra ID / OAuth 令牌盗用场景下做云身份调查,它已经足够实用,值得安装。
- 触发性强:frontmatter 和“When to Use”部分明确指向 OAuth 令牌盗用、重放、PRT 滥用、pass-the-cookie 以及 Entra ID 调查。
- 具备真实运维内容:仓库包含 Python 检测脚本,以及 Microsoft Graph 和 Okta 日志的 API 参考示例,为代理提供了具体的工作流支撑。
- 安装决策清晰:文档明确给出了不适用边界,即不用于本地 Kerberos 票据攻击,从而减少代理的歧义。
- 没有安装命令,支持文件也较少,因此用户可能需要手动集成,而不是一键式安装体验。
- 证据展示了检测逻辑和示例,但没有完整的端到端事件响应手册;落地时可能需要根据本地日志 schema 和环境进行适配。
detecting-oauth-token-theft 技能概览
detecting-oauth-token-theft 技能帮助你在云身份环境中调查并降低 OAuth token 被盗、重放和 session hijacking 风险,尤其适用于 Microsoft Entra ID 及相关 M365 安全工作流。它最适合用于 Security Audit、事件响应或加固评估:当你需要把登录证据转化为明确的检测或遏制方案时,这个技能会非常有用。
这个技能适用于什么场景
当你的问题不是“什么是 OAuth”,而是“我怎么证明 token 被滥用、怎么确定影响范围,以及下一次怎么更早发现它”时,就该用 detecting-oauth-token-theft 技能。它重点关注的是可落地的指标,例如 impossible travel、陌生设备、同一 token 从多个 IP 重复使用、可疑 scope,以及登录异常。
适合哪些读者和团队
这个技能很适合在 Microsoft Entra ID 使用较多的云安全工程师、身份防御人员、SOC 分析师和审计人员。尤其是在你已经有 sign-in logs、conditional access policies 或 identity protection telemetry,但需要一种有引导的方式来解释这些数据时,它会很合适。
它的突出之处
不同于普通 prompt,detecting-oauth-token-theft 技能是围绕一套工作流和检测逻辑构建的,而不只是给建议。这个 repo 里包含脚本、带有日志字段和 scope 映射的参考文档,以及一些具体攻击模式,例如 access token theft、refresh token replay、Primary Refresh Token abuse 和 pass-the-cookie 攻击。
如何使用 detecting-oauth-token-theft 技能
安装并加载到你的工作流中
使用以下命令安装 detecting-oauth-token-theft 技能:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft
安装完成后,先阅读 SKILL.md,再看 references/api-reference.md 和 scripts/agent.py。这三个文件会告诉你这个技能检测什么、需要什么数据,以及它的检测逻辑是如何实现的。
提供正确的事件上下文
这个技能在你提供结构化输入时效果最好:tenant 类型、identity platform、告警来源、时间窗口、受影响用户、可疑 IP,以及任何已知的 token 或设备线索。弱一点的 prompt 只会说“检查 OAuth theft”;更强的 prompt 会像这样:
“调查 Microsoft Entra ID 中 [email protected] 在 UTC 08:00 到 12:00 之间是否存在 OAuth token theft。我们观察到 impossible travel、新设备,以及来自两个国家的重复登录。请给出可能的滥用路径、日志查询和遏制步骤。”
这样的 prompt 会给技能足够细节,从而返回可用的检测指导,而不是泛泛而谈的理论。
按这个顺序阅读文件
先看 SKILL.md,了解范围和前置条件;再看 references/api-reference.md,掌握日志字段、敏感 scopes 和示例查询。把 scripts/agent.py 当作实现线索:它能告诉你哪些条件最关键,包括地理位置/时间速度检查、设备新颖性,以及重复使用模式。
实用使用建议
给技能真实的 sign-in 证据,而不是只给一个告警标题。只要你补充时间戳、源 IP、设备 ID、资源名称和 sign-in 状态码,输出质量就会明显提升。如果你把这个技能用于 Security Audit,建议让它把检测控制、调查步骤和防护控制分开输出,这样更容易整理成报告或 runbook。
detecting-oauth-token-theft 技能 FAQ
这只适用于 Microsoft Entra ID 吗?
不是。Microsoft Entra ID 是它的主要设计中心,但如果其他 identity provider 能提供类似的 sign-in、device 和 token 使用遥测,这些检测思路同样可以迁移过去。如果你的平台不提供这些字段,这个技能的适配度就会弱一些。
它和普通 prompt 有什么不同?
普通 prompt 可能只会给你一些通用的身份安全建议。detecting-oauth-token-theft 技能更适合你想要一套可重复的工作流:从 logs 出发,寻找特定的 replay 指标,并把发现结果连接到 conditional access 或 token protection 决策上。
它适合初学者吗?
适合,前提是你已经了解基本的身份术语。它对调查工作比较友好,因为会引导你去找正确的证据,但它不能替代你对 tenant logs 的访问,也不能替代你对 Entra ID sign-in 数据的基本理解。
什么时候不该用它?
不要把它用于 Kerberos ticket abuse、domain controller compromise,或其他 on-premises AD 攻击。这类问题需要不同的调查技术和不同的遥测数据,不是 detecting-oauth-token-theft 关注的范围。
如何改进 detecting-oauth-token-theft 技能
提供更高质量的证据
最大的提升来自更好的输入数据。请包含精确时间戳、tenant 名称、user principal names、IP 地址、device IDs、地理位置线索,以及 MFA 或 conditional access 是否通过。条件允许的话,直接贴一小段 log 样本,而不是只做概述。
一次只要求一种输出类型
当你把目标拆开时,这个技能表现会更好。比如,先让它输出“可能的滥用假设和支持性指标”,再让它输出“log queries”,然后再让它输出“遏制和防护控制”。这样可以让 detecting-oauth-token-theft 指南更聚焦,也能减少那种含糊混杂的输出。
针对你的环境做适配
如果你的组织使用 Okta、混合身份,或者多个 M365 tenants,最好一开始就说明。references/api-reference.md 和 scripts/agent.py 里的底层检测逻辑很有用,但在结果真正可操作之前,你可能需要调整字段名、日志来源和风险阈值。
用第一版答案继续迭代
把第一次输出当成一条初步调查路径。如果它漏掉了关键登录记录,就补充更多 telemetry,再用更窄的时间窗口或更强的假设重新运行,比如“device change 之后的 token replay”或“consent 之后的 scope abuse”。对 detecting-oauth-token-theft 来说,这通常是把结果做得更好的最快方式,特别是在 Security Audit 或 incident response 场景下。