Sdílet prostřednictvím


Detekce a náprava neoprávněných udělení souhlasu

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Shrnutí Zjistěte, jak rozpoznat a napravit neoprávněný útok na udělení souhlasu v Microsoftu 365.

Při útoku na neoprávněné udělení souhlasu útočník vytvoří aplikaci zaregistrovanou v Azure, která požádá o přístup k datům, jako jsou kontaktní informace, e-maily nebo dokumenty. Útočník pak koncového uživatele ošidí, aby této aplikaci udělil souhlas s přístupem k jeho datům buď prostřednictvím útoku phishing, nebo vložením neoprávněného kódu na důvěryhodný web. Po udělení souhlasu má neoprávněná aplikace přístup k datům na úrovni účtu, aniž by potřebovala účet organizace. Běžné kroky nápravy (například resetování hesel nebo vyžadování vícefaktorového ověřování )) nejsou proti tomuto typu útoku účinné, protože tyto aplikace jsou pro organizaci externí.

Tyto útoky používají model interakce, který předpokládá, že entita volající informace je automatizace, a ne člověk.

Důležité

Máte podezření, že právě teď máte problémy s nedovoleným udělením souhlasu z aplikace? Microsoft Defender for Cloud Apps obsahuje nástroje pro detekci, prošetřování a nápravu aplikací OAuth. Tento Defender for Cloud Apps článek obsahuje kurz, který popisuje, jak se pustit do vyšetřování rizikových aplikací OAuth. Můžete také nastavit zásady aplikací OAuth a prozkoumat oprávnění požadovaná aplikací, které uživatelé tyto aplikace autorizují, a tyto žádosti o oprávnění obecně schvalovat nebo zakazovat.

Pokud chcete najít příznaky, které se označují také jako Indikátory ohrožení (IOC) tohoto útoku, musíte prohledat protokol auditu. Pro organizace s mnoha aplikacemi registrovanými v Azure a velkou uživatelskou základnou je osvědčeným postupem kontrolovat udělení souhlasu vaší organizace každý týden.

Postup při hledání známek tohoto útoku

  1. Otevřete portál Microsoft Defender na adrese https://security.microsoft.com a pak vyberte Auditovat. Nebo jestli chcete přejít přímo na stránku Auditování, použijte https://security.microsoft.com/auditlogsearch.

  2. Na stránce Audit ověřte, že je vybraná karta Hledání , a pak nakonfigurujte následující nastavení:

    • Rozsah data a času
    • Aktivity: Ověřte, že je vybraná možnost Zobrazit výsledky pro všechny aktivity .

    Až budete hotovi, vyberte Hledat.

  3. Výběrem sloupce Aktivita seřaďte výsledky a vyhledejte Vyjádření souhlasu s aplikací.

  4. Výběrem položky ze seznamu zobrazíte podrobnosti o aktivitě. Zkontrolujte, jestli isAdminConsent je nastavený na True.

Poznámka

Může trvat 30 minut až 24 hodin, než se odpovídající položka protokolu auditu zobrazí ve výsledcích hledání po výskytu události.

Doba, po kterou je záznam auditu uchován a prohledávatelný v protokolu auditování, závisí na vašem předplatném Microsoftu 365 a konkrétně na typu licence přiřazené konkrétnímu uživateli. Další informace najdete v tématu Protokol auditu.

Hodnota je true znamená, že někdo s přístupem globálního správce mohl udělit široký přístup k datům. Pokud je tato hodnota neočekávaná, proveďte kroky k potvrzení útoku.

Postup potvrzení útoku

Pokud máte jednu nebo více dříve uvedených instancí IOC, musíte provést další šetření, abyste pozitivně potvrdili, že k útoku došlo. K potvrzení útoku můžete použít některou z těchto tří metod:

  • Inventarizace aplikací a jejich oprávnění pomocí Centrum pro správu Microsoft Entra. Tato metoda je důkladná, ale můžete zkontrolovat pouze jednoho uživatele najednou, což může být velmi časově náročné, pokud máte mnoho uživatelů ke kontrole.
  • Inventarizace aplikací a jejich oprávnění pomocí PowerShellu Jedná se o nejrychlejší a nejdůkladnější metodu s nejnižší režií.
  • Požádejte uživatele, aby jednotlivě zkontrolovali své aplikace a oprávnění a nahlásili výsledky správcům k nápravě.

Inventarizace aplikací s přístupem ve vaší organizaci

Máte k dispozici následující možnosti, jak inventarizaci aplikací pro uživatele:

  • Centrum pro správu Microsoft Entra.
  • PowerShell.
  • Požádejte uživatele, aby si jednotlivě vytvořili výčet vlastního přístupu k aplikacím.

Postup použití Centrum pro správu Microsoft Entra

Aplikace, kterým jednotliví uživatelé udělili oprávnění, můžete vyhledat pomocí Centrum pro správu Microsoft Entra:

  1. Otevřete Centrum pro správu Microsoft Entra na adrese https://entra.microsoft.coma pak přejděte naUživatelé>identit>Všichni uživatelé. Pokud chcete přejít přímo na Uživatelé>Všichni uživatelé, použijte .https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/
  2. Kliknutím na hodnotu Zobrazované jméno vyhledejte a vyberte uživatele, kterého chcete zkontrolovat.
  3. Na stránce s podrobnostmi o uživateli, která se otevře, vyberte Aplikace.

Tento postup ukazuje aplikace, které jsou přiřazené uživateli, a oprávnění, která aplikace mají.

Postup, jak uživatelům vytvořit výčet přístupu k aplikacím

Požádejte uživatele, aby přešli na https://myapps.microsoft.com stránku a zkontrolovali tam svůj vlastní přístup k aplikacím. Měli by mít možnost zobrazit všechny aplikace s přístupem, zobrazit o nich podrobnosti (včetně rozsahu přístupu) a mít možnost odvolat oprávnění k podezřelým nebo nedovoleným aplikacím.

Kroky v PowerShellu

Nejjednodušší způsob, jak ověřit útok na neoprávněné udělení souhlasu, je spustit Get-AzureADPSPermissions.ps1, který vypisuje všechna udělení souhlasu OAuth a aplikace OAuth pro všechny uživatele ve vaší tenantské službě do jednoho .csv souboru.

Požadavky

  • Nainstalovaná knihovna PowerShellu Azure AD.
  • Oprávnění globálního správce v organizaci, ve které se skript spouští.
  • Oprávnění místního správce na počítači, na kterém spouštíte skripty.

Důležité

Důrazně doporučujeme, abyste u svého účtu správce vyžadovali vícefaktorové ověřování. Tento skript podporuje vícefaktorové ověřování.

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Poznámka

Azure AD PowerShell se plánuje 30. března 2024 vyřadit. Další informace najdete v aktualizaci o vyřazení z provozu.

Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Microsoft Graph PowerShell umožňuje přístup ke všem rozhraním Microsoft Graph API a je k dispozici v PowerShellu 7. Odpovědi na běžné dotazy k migraci najdete v tématu Nejčastější dotazy k migraci.

  1. Přihlaste se k počítači, na kterém chcete skripty spouštět, s právy místního správce.

  2. Stáhněte nebo zkopírujte skriptGet-AzureADPSPermissions.ps1 z GitHubu do složky, která se snadno najde a zapamatuje. Do této složky také potřebujete napsat výstupní soubor "permissions.csv".

  3. Otevřete relaci PowerShellu se zvýšenými oprávněními jako správce ve složce, do které jste skript uložili.

  4. Připojte se k adresáři pomocí rutiny Connect-MgGraph .

  5. Spusťte tento příkaz PowerShellu:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Skript vytvoří jeden soubor s názvem Permissions.csv. Podle těchto kroků vyhledejte neoprávněná udělení oprávnění aplikací:

  1. Ve sloupci ConsentType (sloupec G) vyhledejte hodnotu AllPrinciples. Oprávnění AllPrincipals umožňuje klientské aplikaci přistupovat k obsahu všech uživatelů v tenantské službě. Nativní aplikace Microsoft 365 toto oprávnění potřebují, aby správně fungovaly. Každou aplikaci, která není společností Microsoft s tímto oprávněním, by měla být pečlivě zkontrolována.

  2. Ve sloupci Oprávnění (sloupec F) zkontrolujte oprávnění, která každá delegovaná aplikace má k obsahu. Vyhledejte oprávnění Číst a Zapisovat nebo Vše a pečlivě si je projděte, protože nemusí být vhodná.

  3. Zkontrolujte konkrétní uživatele, kteří mají udělené souhlasy. Pokud mají uživatelé s vysokým profilem nebo vysokou hodnotou udělené nevhodné souhlasy, měli byste pokračovat v šetření.

  4. Ve sloupci ClientDisplayName (sloupec C) vyhledejte aplikace, které se zdají podezřelé. Aplikace s chybně napsanými jmény, super nechutnými názvy nebo názvy znějící hackery byste měli pečlivě zkontrolovat.

Určení rozsahu útoku

Po dokončení inventarizace přístupu k aplikacím zkontrolujte protokol auditu a zjistěte úplný rozsah porušení zabezpečení. Vyhledejte ovlivněné uživatele, časové rámce, kdy měla neoprávněná aplikace přístup k vaší organizaci, a oprávnění, která aplikace měla. Protokol auditu můžete prohledávat na portálu Microsoft Defender.

Důležité

Abyste mohli tyto informace získat, musíte před útokem povolit auditování poštovní schránkya auditování aktivit pro správce a uživatele.

Jakmile identifikujete aplikaci s neoprávněnými oprávněními, máte několik způsobů, jak tento přístup odebrat:

  • Oprávnění aplikace v Centrum pro správu Microsoft Entra můžete odvolat následujícím postupem:

    1. Otevřete Centrum pro správu Microsoft Entra na adrese https://entra.microsoft.coma pak přejděte naUživatelé>identit>Všichni uživatelé. Pokud chcete přejít přímo na Uživatelé>Všichni uživatelé, použijte .https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/
    2. Vyhledejte a vyberte ovlivněného uživatele kliknutím na hodnotu Zobrazované jméno .
    3. Na stránce s podrobnostmi o uživateli, která se otevře, vyberte Aplikace.
    4. Na stránce Aplikace vyberte nedovolenou aplikaci kliknutím na hodnotu Název .
    5. Na stránce s podrobnostmi o přiřazení , která se otevře, vyberte Odebrat.
  • Udělení souhlasu OAuth s PowerShellem můžete odvolat podle kroků v tématu Remove-MgOauth2PermissionGrant.

  • Přiřazení role aplikace služby můžete odvolat pomocí PowerShellu podle kroků v tématu Remove-MgServicePrincipalAppRoleAssignment.

  • Pro ovlivněný účet můžete zakázat přihlášení, čímž aplikace zakáže přístup k datům v účtu. Tato akce není ideální pro produktivitu uživatelů, ale může se jednat o krátkodobou nápravu, která rychle omezí výsledky útoku.

  • Integrované aplikace ve vaší organizaci můžete vypnout. Tato akce je drastická. I když brání uživatelům v náhodném udělení přístupu ke škodlivé aplikaci, brání také všem uživatelům v udělení souhlasu se všemi aplikacemi. Tuto akci nedoporučujeme, protože výrazně ovlivňuje produktivitu uživatelů s aplikacemi třetích stran. Integrované aplikace můžete vypnout podle pokynů v tématu Zapnutí nebo vypnutí integrovaných aplikací.

Viz také