Untersuchen und Beheben riskanter OAuth-Apps

OAuth ist ein offener Standard für die tokenbasierte Authentifizierung und Autorisierung. OAuth ermöglicht es, die Kontoinformationen eines Benutzers von Drittanbieterdiensten zu verwenden, ohne das Kennwort des Benutzers verfügbar zu machen. OAuth fungiert als Vermittler im Namen des Benutzers und stellt dem Dienst ein Zugriffstoken zur Verfügung, das bestimmte Kontoinformationen für die Freigabe autorisiert.

Beispielsweise benötigt eine App, die den Kalender des Benutzers analysiert und Ratschläge gibt, wie sie produktiver werden können, Zugriff auf den Kalender des Benutzers. Anstatt die Anmeldeinformationen des Benutzers bereitzustellen, ermöglicht OAuth der App den Zugriff auf die Daten nur basierend auf einem Token, das generiert wird, wenn der Benutzer seine Zustimmung zu einer Seite erteilt, wie in der folgenden Abbildung zu sehen ist.

Viele Drittanbieter-Apps, die möglicherweise von Geschäftsbenutzern in Ihrem organization installiert werden, fordern die Berechtigung für den Zugriff auf Benutzerinformationen und -daten an und melden sich im Namen des Benutzers in anderen Cloud-Apps an. Wenn Benutzer diese Apps installieren, klicken sie häufig auf Annehmen , ohne die Details in der Eingabeaufforderung genau zu überprüfen, einschließlich des Erteilens von Berechtigungen für die App. Das Akzeptieren von App-Berechtigungen von Drittanbietern stellt ein potenzielles Sicherheitsrisiko für Ihre organization.

Beispielsweise könnte die folgende OAuth-App-Zustimmungsseite für den durchschnittlichen Benutzer legitim aussehen. "Google-APIs Explorer" sollten jedoch keine Berechtigungen von Google selbst anfordern müssen. Dies deutet darauf hin, dass es sich bei der App um einen Phishingversuch handeln könnte, der überhaupt nicht mit Google zusammenhängt.

Als Sicherheitsadministrator benötigen Sie Transparenz und Kontrolle über die Apps in Ihrer Umgebung, einschließlich der Berechtigungen, über die sie verfügen. Sie müssen die Verwendung von Apps verhindern können, die eine Berechtigung für Ressourcen erfordern, die Sie widerrufen möchten. Daher bietet Microsoft Defender for Cloud Apps Ihnen die Möglichkeit, die App-Berechtigungen zu untersuchen und zu überwachen, die Ihren Benutzern gewährt wurden. Dieser Artikel soll Ihnen helfen, die OAuth-Apps in Ihrem organization zu untersuchen und sich auf die Apps zu konzentrieren, die wahrscheinlicher verdächtig sind.

Unser empfohlener Ansatz besteht darin, die Apps mithilfe der im Defender for Cloud Apps-Portal bereitgestellten Fähigkeiten und Informationen zu untersuchen, um Apps mit geringer Wahrscheinlichkeit, riskant zu sein, herauszufiltern und sich auf die verdächtigen Apps zu konzentrieren.

In diesem Lernprogramm lernen Sie:

• Erkennen riskanter OAuth-Apps
• Untersuchen riskanter OAuth-Apps
• Korrigieren riskanter OAuth-Apps

Hinweis

In diesem Artikel werden Beispiele und Screenshots von der Seite "OAuth-Apps " verwendet, die verwendet wird, wenn App-Governance nicht aktiviert ist.

Wenn Sie Vorschaufeatures verwenden und App-Governance aktiviert haben, ist die gleiche Funktionalität stattdessen auf der Seite App-Governance verfügbar.

Weitere Informationen finden Sie unter App-Governance in Microsoft Defender for Cloud Apps.

Erkennen riskanter OAuth-Apps

Die Erkennung einer riskanten OAuth-App kann mithilfe von:

• Warnungen: React zu einer Warnung, die von einer vorhandenen Richtlinie ausgelöst wird.
• Hunting: Suchen Sie unter allen verfügbaren Apps nach einer riskanten App, ohne konkreten Verdacht auf ein Risiko.

Erkennen riskanter Apps mithilfe von Warnungen

Sie können Richtlinien so festlegen, dass Ihnen automatisch Benachrichtigungen gesendet werden, wenn eine OAuth-App bestimmte Kriterien erfüllt. Sie können beispielsweise eine Richtlinie so festlegen, dass Sie automatisch benachrichtigt werden, wenn eine App erkannt wird, die hohe Berechtigungen erfordert und von mehr als 50 Benutzern autorisiert wurde. Weitere Informationen zum Erstellen von OAuth-Richtlinien finden Sie unter OAuth-App-Richtlinien.

Erkennen riskanter Apps durch Hunting

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu OAuth-Apps. Verwenden Sie die Filter und Abfragen, um zu überprüfen, was in Ihrer Umgebung geschieht:

   • Legen Sie den Filter auf Berechtigungsstufe hoher Schweregrad und Communityverwendung nicht häufig fest. Mit diesem Filter können Sie sich auf Apps konzentrieren, die potenziell sehr riskant sind, bei denen Benutzer das Risiko möglicherweise unterschätzt haben.

   • Wählen Sie unter Berechtigungen alle Optionen aus, die in einem bestimmten Kontext besonders riskant sind. Sie können beispielsweise alle Filter auswählen, die Berechtigungen für den E-Mail-Zugriff gewähren, z. B . Vollzugriff auf alle Postfächer , und dann die Liste der Apps überprüfen, um sicherzustellen, dass alle wirklich E-Mail-bezogenen Zugriff benötigen. Dies kann Ihnen helfen, in einem bestimmten Kontext zu untersuchen und Apps zu finden, die legitim erscheinen, aber unnötige Berechtigungen enthalten. Diese Apps sind wahrscheinlicher riskant.

     

   • Wählen Sie die gespeicherte Abfrage Apps aus, die von externen Benutzern autorisiert wurden. Mit diesem Filter können Sie Apps finden, die möglicherweise nicht den Sicherheitsstandards Ihres Unternehmens entsprechen.

2. Nachdem Sie Ihre Apps überprüft haben, können Sie sich auf die Apps in den Abfragen konzentrieren, die legitim erscheinen, aber tatsächlich riskant sind. Verwenden Sie die Filter, um sie zu finden:

   • Filtern Sie nach Apps, die von einer kleinen Anzahl von Benutzern autorisiert werden. Wenn Sie sich auf diese Apps konzentrieren, können Sie nach riskanten Apps suchen, die von einem kompromittierten Benutzer autorisiert wurden.
   • Apps mit Berechtigungen, die nicht dem Zweck der App entsprechen, z. B. eine Uhr-App mit Vollzugriff auf alle Postfächer.

3. Wählen Sie jede App aus, um die App-Schublade zu öffnen, und überprüfen Sie, ob die App einen verdächtigen Namen, Herausgeber oder eine verdächtige Website hat.

4. Sehen Sie sich die Liste der Apps und Ziel-Apps an, die unter Zuletzt autorisiert ein Datum haben, das nicht aktuell ist. Diese Apps sind möglicherweise nicht mehr erforderlich.

   

Untersuchen verdächtiger OAuth-Apps

Nachdem Sie festgestellt haben, dass eine App verdächtig ist und Sie sie untersuchen möchten, empfehlen wir die folgenden wichtigsten Prinzipien für eine effiziente Untersuchung:

• Je häufiger und verwendet eine App entweder von Ihrem organization oder online ist, desto wahrscheinlicher ist sie sicher.
• Eine App sollte nur Berechtigungen erfordern, die sich auf den Zweck der App beziehen. Wenn dies nicht der Fall ist, kann die App riskant sein.
• Apps, die hohe Berechtigungen oder Administratoreinwilligung erfordern, sind wahrscheinlicher riskant.

1. Wählen Sie die App aus, um die App-Schublade zu öffnen, und wählen Sie den Link unter Verwandte Aktivitäten aus. Dadurch wird die Seite Aktivitätsprotokoll geöffnet, die nach Aktivitäten gefiltert ist, die von der App ausgeführt werden. Beachten Sie, dass einige Apps Aktivitäten ausführen, die als von einem Benutzer ausgeführt registriert wurden. Diese Aktivitäten werden automatisch aus den Ergebnissen im Aktivitätsprotokoll herausgefiltert. Weitere Informationen zur Verwendung des Aktivitätsprotokolls finden Sie unter Aktivitätsprotokoll.
2. Wählen Sie in der Schublade Zustimmungsaktivitäten aus, um die Benutzerzustimmungen für die App im Aktivitätsprotokoll zu untersuchen.
3. Wenn eine App verdächtig erscheint, empfehlen wir Ihnen, den Namen und Herausgeber der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich auf die folgenden Apps, die möglicherweise vermutet werden:
   • Apps mit einer geringen Anzahl von Downloads.
   • Apps mit einer niedrigen Bewertung oder Bewertung oder schlechte Kommentare.
   • Apps mit einem verdächtigen Herausgeber oder einer verdächtigen Website.
   • Apps, deren letzte Aktualisierung nicht aktuell ist. Dies kann auf eine App hinweisen, die nicht mehr unterstützt wird.
   • Apps, die über irrelevante Berechtigungen verfügen. Dies kann darauf hindeuten, dass eine App riskant ist.
4. Wenn die App immer noch verdächtig ist, können Sie den App-Namen, den Herausgeber und die URL online recherchieren.
5. Sie können die OAuth-App-Überwachung zur weiteren Analyse der Benutzer exportieren, die eine App autorisiert haben. Weitere Informationen finden Sie unter OAuth-App-Überwachung.

Beheben verdächtiger OAuth-Apps

Nachdem Sie festgestellt haben, dass eine OAuth-App riskant ist, stellt Defender for Cloud Apps die folgenden Korrekturoptionen bereit:

• Manuelle Korrektur: Sie können das Widerrufen einer App auf der Seite "OAuth-Apps" ganz einfach sperren.

• Automatische Korrektur: Sie können eine Richtlinie erstellen, die eine App automatisch widerruft oder einen bestimmten Benutzer für eine App widerruft.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.