Zkoumání a náprava rizikových aplikací OAuth

OAuth je otevřený standard pro ověřování a autorizaci na základě tokenů. OAuth umožňuje používat informace o účtu uživatele službami třetích stran bez zveřejnění hesla uživatele. OAuth funguje jako zprostředkovatel jménem uživatele a poskytuje službě přístupový token, který autorizuje sdílení konkrétních informací o účtu.

Například aplikace, která analyzuje kalendář uživatele a radí, jak zvýšit produktivitu, potřebuje přístup ke kalendáři uživatele. Místo zadání přihlašovacích údajů uživatele umožňuje OAuth aplikaci získat přístup k datům pouze na základě tokenu, který se vygeneruje, když uživatel poskytne souhlas se stránkou, jak je vidět na následujícím obrázku.

Mnoho aplikací třetích stran, které můžou nainstalovat firemní uživatelé ve vaší organizaci, vyžaduje oprávnění pro přístup k informacím a datům uživatelů a přihlášení jménem uživatele v jiných cloudových aplikacích. Když uživatelé tyto aplikace nainstalují, často kliknou na Přijmout , aniž by pečlivě zkontrolovali podrobnosti ve výzvě, včetně udělení oprávnění aplikaci. Přijetí oprávnění aplikací třetích stran představuje potenciální bezpečnostní riziko pro vaši organizaci.

Například následující stránka souhlasu s aplikací OAuth může pro průměrného uživatele vypadat jako legitimní, ale "Google API Explorer" by neměl vyžadovat oprávnění od samotného Googlu. To znamená, že aplikace může být útok phishing, který vůbec nesouvisí s Googlem.

Jako správce zabezpečení potřebujete přehled a kontrolu nad aplikacemi ve vašem prostředí, včetně oprávnění, která mají. Potřebujete možnost zabránit používání aplikací, které vyžadují oprávnění k prostředkům, které chcete odvolat. Proto vám Microsoft Defender for Cloud Apps poskytuje možnost prošetřit a monitorovat oprávnění aplikací, která uživatelé udělili. Tento článek vám pomůže prozkoumat aplikace OAuth ve vaší organizaci a zaměřit se na aplikace, které budou s větší pravděpodobností podezřelé.

Doporučeným přístupem je prozkoumat aplikace s využitím možností a informací uvedených v Defender for Cloud Apps k odfiltrování aplikací s nízkou pravděpodobností rizika a zaměřit se na podezřelé aplikace.

V tomto kurzu se naučíte:

• Detekce rizikových aplikací OAuth
• Zkoumání rizikových aplikací OAuth
• Náprava rizikových aplikací OAuth

Poznámka

Tento článek používá ukázky a snímky obrazovky ze stránky aplikace OAuth , která se používá, když nemáte zapnuté zásady správného řízení aplikací.

Pokud používáte funkce verze Preview a máte zapnuté zásady správného řízení aplikací, stejné funkce jsou k dispozici na stránce zásad správného řízení aplikací .

Další informace najdete v tématu Zásady správného řízení aplikací v Microsoft Defender for Cloud Apps.

Jak detekovat rizikové aplikace OAuth

Zjištění rizikové aplikace OAuth je možné provést pomocí:

• Výstrahy: React na výstrahu aktivovanou existující zásadou.
• Proaktivní vyhledávání: Vyhledejte rizikovou aplikaci mezi všemi dostupnými aplikacemi bez konkrétního podezření na riziko.

Detekce rizikových aplikací pomocí výstrah

Zásady můžete nastavit tak, aby vám automaticky odesílaly oznámení, když aplikace OAuth splňuje určitá kritéria. Můžete například nastavit zásadu, která vás automaticky upozorní, když se zjistí aplikace, která vyžaduje vysoká oprávnění a byla autorizována více než 50 uživateli. Další informace o vytváření zásad OAuth najdete v tématu Zásady aplikací OAuth.

Detekce rizikových aplikací pomocí proaktivního vyhledávání

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Aplikace OAuth. Pomocí filtrů a dotazů zkontrolujte, co se děje ve vašem prostředí:

   • Nastavte filtr na Úroveň oprávnění vysoká závažnost a Použití komunitou není běžné. Pomocí tohoto filtru se můžete zaměřit na aplikace, které jsou potenciálně velmi rizikové a uživatelé můžou riziko podcenit.

   • V části Oprávnění vyberte všechny možnosti, které jsou v konkrétním kontextu obzvláště rizikové. Můžete například vybrat všechny filtry, které poskytují oprávnění k přístupu k e-mailu, například Úplný přístup ke všem poštovním schránkám , a pak zkontrolovat seznam aplikací, abyste se ujistili, že všechny skutečně potřebují přístup související s poštou. To vám může pomoct prozkoumat v konkrétním kontextu a najít aplikace, které se zdají být legitimní, ale obsahují zbytečná oprávnění. U těchto aplikací je větší pravděpodobnost, že budou rizikové.

     

   • Vyberte uložený dotaz Aplikace autorizované externími uživateli. Pomocí tohoto filtru můžete najít aplikace, které nemusí být v souladu se standardy zabezpečení vaší společnosti.

2. Po kontrole aplikací se můžete zaměřit na aplikace v dotazech, které se zdají legitimní, ale ve skutečnosti můžou být rizikové. K jejich vyhledání použijte filtry:

   • Vyfiltrujte aplikace, které jsou autorizované malým počtem uživatelů. Pokud se zaměříte na tyto aplikace, můžete hledat rizikové aplikace, které byly autorizovány ohroženým uživatelem.
   • Aplikace, které mají oprávnění, která neodpovídají účelu aplikace, například aplikace s hodinami s úplným přístupem ke všem poštovním schránkám.

3. Výběrem jednotlivých aplikací otevřete panel aplikací a zkontrolujte, jestli má aplikace podezřelé jméno, vydavatele nebo web.

4. Podívejte se na seznam aplikací a cílových aplikací, které mají datum v části Poslední autorizace , které není nedávné. Tyto aplikace už nemusí být potřeba.

   

Jak prozkoumat podezřelé aplikace OAuth

Jakmile zjistíte, že je aplikace podezřelá a chcete ji prozkoumat, doporučujeme pro efektivní šetření následující klíčové principy:

• Čím běžnější a používaná aplikace je , ať už ve vaší organizaci, nebo online, tím větší je pravděpodobnost, že bude v bezpečí.
• Aplikace by měla vyžadovat jenom oprávnění, která souvisejí s účelem aplikace. Pokud tomu tak není, aplikace může být riziková.
• Aplikace, které vyžadují vysoká oprávnění nebo souhlas správce, jsou s větší pravděpodobností rizikové.

1. Výběrem aplikace otevřete panel aplikací a vyberte odkaz v části Související aktivity. Otevře se stránka Protokolu aktivit filtrovaná pro aktivity prováděné aplikací. Mějte na paměti, že některé aplikace provádějí aktivity, které jsou registrovány jako aktivity prováděné uživatelem. Tyto aktivity se automaticky vyfiltrují z výsledků v protokolu aktivit. Další šetření pomocí protokolu aktivit najdete v tématu Protokol aktivit.
2. V zásuvce vyberte Aktivity souhlasu a prošetřete souhlasy uživatelů s aplikací v protokolu aktivit.
3. Pokud se aplikace zdá podezřelá, doporučujeme prozkoumat její název a vydavatele v různých obchodech s aplikacemi. Zaměřte se na následující aplikace, které můžou být podezřelé:
   • Aplikace s nízkým počtem stažených souborů
   • Aplikace s nízkým hodnocením, skóre nebo špatnými komentáři
   • Aplikace s podezřelým vydavatelem nebo webem
   • Aplikace, jejichž poslední aktualizace není nedávná. To může znamenat aplikaci, která už není podporovaná.
   • Aplikace, které mají irelevantní oprávnění. To může znamenat, že aplikace je riziková.
4. Pokud je aplikace stále podezřelá, můžete zjistit název aplikace, vydavatele a adresu URL online.
5. Audit aplikace OAuth můžete exportovat pro další analýzu uživatelů, kteří aplikaci autorizovali. Další informace najdete v tématu Auditování aplikací OAuth.

Náprava podezřelých aplikací OAuth

Jakmile zjistíte, že aplikace OAuth je riziková, Defender for Cloud Apps poskytuje následující možnosti nápravy:

• Ruční náprava: Odvolání aplikace můžete snadno zakázat na stránce aplikací OAuth.

• Automatická náprava: Můžete vytvořit zásadu, která automaticky odvolá aplikaci nebo odvolá konkrétního uživatele z aplikace.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.