Investigación y corrección de aplicaciones de OAuth de riesgo

OAuth es un estándar abierto para la autenticación y autorización basada en tokens. OAuth permite que los servicios de terceros usen la información de la cuenta de un usuario, sin exponer la contraseña del usuario. OAuth actúa como intermediario en nombre del usuario, proporcionando al servicio un token de acceso que autoriza a compartir información específica de la cuenta.

Por ejemplo, una aplicación que analiza el calendario del usuario y proporciona consejos sobre cómo ser más productivo, necesita acceso al calendario del usuario. En lugar de proporcionar las credenciales del usuario, OAuth permite a la aplicación obtener acceso a los datos solo en función de un token, que se genera cuando el usuario da su consentimiento a una página, como se puede ver en la imagen siguiente.

Muchas aplicaciones de terceros que podrían instalar los usuarios empresariales de su organización, solicitar permiso para acceder a la información y los datos del usuario e iniciar sesión en nombre del usuario en otras aplicaciones en la nube. Cuando los usuarios instalan estas aplicaciones, a menudo hacen clic en Aceptar sin revisar detenidamente los detalles del mensaje, incluida la concesión de permisos a la aplicación. La aceptación de permisos de aplicación de terceros es un riesgo de seguridad potencial para su organización.

Por ejemplo, la siguiente página de consentimiento de la aplicación de OAuth podría parecer legítima para el usuario medio; sin embargo, "Explorador de API de Google" no debería tener que solicitar permisos a Google. Por lo tanto, esto indica que la aplicación podría ser un intento de phishing, no relacionado con Google en absoluto.

Como administrador de seguridad, necesita visibilidad y control sobre las aplicaciones de su entorno y eso incluye los permisos que tienen. Necesita la capacidad de impedir el uso de aplicaciones que requieren permiso para los recursos que desea revocar. Por lo tanto, Microsoft Defender for Cloud Apps proporciona la capacidad de investigar y supervisar los permisos de aplicación concedidos por los usuarios. Este artículo se dedica a ayudarle a investigar las aplicaciones de OAuth de su organización y a centrarse en las aplicaciones que son más probables que sean sospechosas.

Nuestro enfoque recomendado es investigar las aplicaciones mediante el uso de las capacidades y la información proporcionada en el portal de Defender for Cloud Apps para filtrar las aplicaciones con una baja probabilidad de riesgo y centrarse en las aplicaciones sospechosas.

En este tutorial, aprenderá a:

• Detección de aplicaciones de OAuth de riesgo
• Investigación de aplicaciones de OAuth de riesgo
• Corrección de aplicaciones de OAuth de riesgo

Nota:

En este artículo se usan ejemplos y capturas de pantalla de la página aplicaciones de OAuth , que se usan cuando no se activa la gobernanza de aplicaciones.

Si usa características en versión preliminar y tiene activada la gobernanza de aplicaciones, la misma funcionalidad está disponible en la página Gobernanza de aplicaciones en su lugar.

Para obtener más información, consulte Gobernanza de aplicaciones en Microsoft Defender for Cloud Apps.

Detección de aplicaciones de OAuth de riesgo

La detección de una aplicación de OAuth de riesgo se puede realizar mediante:

• Alertas: React a una alerta desencadenada por una directiva existente.
• Búsqueda: busque una aplicación de riesgo entre todas las aplicaciones disponibles, sin sospechas concretas de riesgo.

Detección de aplicaciones de riesgo mediante alertas

Puede establecer directivas para que le envíen automáticamente notificaciones cuando una aplicación de OAuth cumple determinados criterios. Por ejemplo, puede establecer una directiva para que le notifique automáticamente cuando se detecta una aplicación que requiere permisos elevados y que ha sido autorizada por más de 50 usuarios. Para obtener más información sobre cómo crear directivas de OAuth, consulte Directivas de aplicaciones de OAuth.

Detección de aplicaciones de riesgo mediante la búsqueda

1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Aplicaciones de OAuth. Use los filtros y las consultas para revisar lo que sucede en el entorno:

   • Establezca el filtro en Nivel de permiso de gravedad alta y Uso de la comunidad no común. Con este filtro, puede centrarse en aplicaciones potencialmente muy arriesgadas, donde es posible que los usuarios hayan subestimado el riesgo.

   • En Permisos , seleccione todas las opciones que son especialmente arriesgadas en un contexto específico. Por ejemplo, puede seleccionar todos los filtros que proporcionan permiso para el acceso al correo electrónico, como acceso completo a todos los buzones de correo y, a continuación, revisar la lista de aplicaciones para asegurarse de que todos realmente necesitan acceso relacionado con el correo. Esto puede ayudarle a investigar dentro de un contexto específico y a buscar aplicaciones que parezcan legítimas, pero que contienen permisos innecesarios. Es más probable que estas aplicaciones sean de riesgo.

     

   • Seleccione las aplicaciones de consulta guardadas autorizadas por usuarios externos. Con este filtro, puede encontrar aplicaciones que podrían no estar alineadas con los estándares de seguridad de su empresa.

2. Después de revisar las aplicaciones, puede centrarse en las aplicaciones en las consultas que parecen legítimas, pero que en realidad pueden ser de riesgo. Use los filtros para encontrarlos:

   • Filtre por las aplicaciones autorizadas por un pequeño número de usuarios. Si se centra en estas aplicaciones, puede buscar aplicaciones de riesgo autorizadas por un usuario en peligro.
   • Aplicaciones que tienen permisos que no coinciden con el propósito de la aplicación, por ejemplo, una aplicación de reloj con acceso completo a todos los buzones de correo.

3. Seleccione cada aplicación para abrir el cajón de aplicaciones y compruebe si la aplicación tiene un nombre sospechoso, un publicador o un sitio web.

4. Examine la lista de aplicaciones y aplicaciones de destino que tienen una fecha en Última autorización que no es reciente. Es posible que estas aplicaciones ya no sean necesarias.

   

Investigación de aplicaciones sospechosas de OAuth

Después de determinar que una aplicación es sospechosa y desea investigarla, se recomiendan los siguientes principios clave para una investigación eficaz:

• Cuanto más común y usada sea una aplicación, ya sea por su organización o en línea, más probable es que sea segura.
• Una aplicación solo debe requerir permisos relacionados con el propósito de la aplicación. Si ese no es el caso, la aplicación podría ser arriesgada.
• Es más probable que las aplicaciones que requieren privilegios elevados o consentimiento de administrador sean de riesgo.

1. Seleccione la aplicación para abrir el cajón de la aplicación y seleccione el vínculo en Actividades relacionadas. Se abre la página Registro de actividad filtrada por las actividades realizadas por la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades registradas como realizadas por un usuario. Estas actividades se filtran automáticamente fuera de los resultados en el registro de actividad. Para más información sobre el uso del registro de actividad, consulte Registro de actividad.
2. En el cajón, seleccione Actividades de consentimiento para investigar los consentimientos del usuario a la aplicación en el registro de actividad.
3. Si una aplicación parece sospechosa, te recomendamos que investigues el nombre y el publicador de la aplicación en diferentes tiendas de aplicaciones. Céntrese en las siguientes aplicaciones, que podrían ser sospechas:
   • Aplicaciones con un número bajo de descargas.
   • Aplicaciones con una clasificación o puntuación bajas o comentarios incorrectos.
   • Aplicaciones con un publicador o sitio web sospechosos.
   • Aplicaciones cuya última actualización no es reciente. Esto podría indicar una aplicación que ya no se admite.
   • Aplicaciones que tienen permisos irrelevantes. Esto podría indicar que una aplicación es de riesgo.
4. Si la aplicación sigue siendo sospechosa, puede investigar el nombre de la aplicación, el publicador y la dirección URL en línea.
5. Puede exportar la auditoría de la aplicación de OAuth para analizar más a fondo los usuarios que autorizaron una aplicación. Para obtener más información, consulte Auditoría de aplicaciones de OAuth.

Corrección de aplicaciones de OAuth sospechosas

Después de determinar que una aplicación de OAuth es de riesgo, Defender for Cloud Apps proporciona las siguientes opciones de corrección:

• Corrección manual: puede prohibir fácilmente la revocación de una aplicación de la página de aplicaciones de OAuth

• Corrección automática: puede crear una directiva que revoque automáticamente una aplicación o revoque un usuario específico de una aplicación.

Pasos siguientes

Procedimientos recomendados para proteger su organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.