Condividi tramite

Analizzare e correggere le app OAuth rischiose

  • Articolo

OAuth è uno standard aperto per l'autenticazione basata su token e l'autorizzazione. OAuth consente l'uso delle informazioni sull'account di un utente da parte di servizi di terze parti, senza esporre la password dell'utente. OAuth funge da intermediario per conto dell'utente, fornendo al servizio un token di accesso che autorizza la condivisione di informazioni specifiche sull'account.

Ad esempio, un'app che analizza il calendario dell'utente e fornisce consigli su come diventare più produttivi, deve accedere al calendario dell'utente. Invece di fornire le credenziali dell'utente, OAuth consente all'app di ottenere l'accesso ai dati solo in base a un token, generato quando l'utente fornisce il consenso a una pagina come illustrato nell'immagine seguente.

Autorizzazione dell'app OAuth.

Molte app di terze parti che potrebbero essere installate dagli utenti aziendali nell'organizzazione, richiedono l'autorizzazione per accedere alle informazioni utente e ai dati e accedere per conto dell'utente in altre app cloud. Quando gli utenti installano queste app, spesso fanno clic su Accetta senza esaminare attentamente i dettagli nella richiesta, inclusa la concessione delle autorizzazioni all'app. L'accettazione delle autorizzazioni per le app di terze parti rappresenta un potenziale rischio per la sicurezza dell'organizzazione.

Ad esempio, la pagina di consenso dell'app OAuth seguente potrebbe sembrare legittima per l'utente medio, ma "Google API Explorer" non deve richiedere autorizzazioni a Google stesso. Questo indica che l'app potrebbe essere un tentativo di phishing, non correlato a Google.

OAuth phishing google.

Gli amministratori della sicurezza hanno bisogno di visibilità e controllo sulle app nell'ambiente e che includono le autorizzazioni di cui dispongono. È necessaria la possibilità di impedire l'uso di app che richiedono l'autorizzazione per le risorse da revocare. Pertanto, Microsoft Defender for Cloud Apps offre la possibilità di analizzare e monitorare le autorizzazioni dell'app concesse agli utenti. Questo articolo è dedicato all'analisi delle app OAuth nell'organizzazione e all'attenzione alle app che hanno maggiori probabilità di essere sospette.

L'approccio consigliato consiste nell'analizzare le app usando le funzionalità e le informazioni fornite nel portale di Defender for Cloud Apps per filtrare le app con una bassa probabilità di essere rischiose e concentrarsi sulle app sospette.

In questa esercitazione si apprenderà come:

Nota

Questo articolo usa esempi e screenshot della pagina delle app OAuth , che viene usata quando la governance delle app non è attivata.

Se si usano le funzionalità di anteprima e si attiva la governance delle app, la stessa funzionalità è disponibile nella pagina Governance delle app.

Per altre informazioni, vedere Governance delle app in Microsoft Defender for Cloud Apps.

Come rilevare app OAuth rischiose

Il rilevamento di un'app OAuth rischiosa può essere eseguito usando:

  • Avvisi: React a un avviso attivato da un criterio esistente.
  • Ricerca: cercare un'app rischiosa tra tutte le app disponibili, senza il sospetto concreto di un rischio.

Rilevare le app rischiose usando gli avvisi

È possibile impostare criteri per inviare automaticamente notifiche quando un'app OAuth soddisfa determinati criteri. Ad esempio, è possibile impostare un criterio per notificare automaticamente quando viene rilevata un'app che richiede autorizzazioni elevate ed è stata autorizzata da più di 50 utenti. Per altre informazioni sulla creazione di criteri OAuth, vedere Criteri dell'app OAuth.

Rilevare le app rischiose eseguendo la ricerca

  1. In App cloud del portale di Microsoft Defender passare ad App OAuth. Usare i filtri e le query per esaminare gli eventi che si verificano nell'ambiente:

    • Impostare il filtro su Livello di autorizzazione gravità elevata e Utilizzo della community non comune. Usando questo filtro, è possibile concentrarsi sulle app potenzialmente molto rischiose, in cui gli utenti potrebbero aver sottovalutato il rischio.

    • In Autorizzazioni selezionare tutte le opzioni particolarmente rischiose in un contesto specifico. Ad esempio, è possibile selezionare tutti i filtri che forniscono l'autorizzazione per l'accesso tramite posta elettronica, ad esempio l'accesso completo a tutte le cassette postali e quindi esaminare l'elenco delle app per assicurarsi che tutti abbiano realmente bisogno dell'accesso correlato alla posta elettronica. In questo modo è possibile analizzare in un contesto specifico e trovare app che sembrano legittime, ma che contengono autorizzazioni non necessarie. È più probabile che queste app siano rischiose.

      OAuth phishing rischioso.

    • Selezionare la query salvata App autorizzate da utenti esterni. Usando questo filtro, è possibile trovare app che potrebbero non essere allineate agli standard di sicurezza dell'azienda.

  2. Dopo aver esaminato le app, è possibile concentrarsi sulle app nelle query che sembrano legittime ma che potrebbero effettivamente essere rischiose. Usare i filtri per trovarli:

    • Filtrare le app autorizzate da un numero ridotto di utenti. Se ci si concentra su queste app, è possibile cercare app rischiose autorizzate da un utente compromesso.
    • App con autorizzazioni che non corrispondono allo scopo dell'app, ad esempio un'app per l'orologio con accesso completo a tutte le cassette postali.

  3. Selezionare ogni app per aprire il pannello dell'app e verificare se l'app ha un nome, un editore o un sito Web sospetto.

  4. Esaminare l'elenco delle app e delle app di destinazione con una data in Ultima autorizzazione non recente. Queste app potrebbero non essere più necessarie.

    Pannello dell'app OAuth.

Come analizzare le app OAuth sospette

Dopo aver stabilito che un'app è sospetta e si vuole analizzarla, è consigliabile usare i principi chiave seguenti per un'analisi efficiente:

  • Più un'app è comune e usata, dall'organizzazione o online, più è probabile che sia sicura.
  • Un'app deve richiedere solo autorizzazioni correlate allo scopo dell'app. In caso contrario, l'app potrebbe essere rischiosa.
  • È più probabile che le app che richiedono privilegi elevati o consenso amministratore siano rischiose.
  1. Selezionare l'app per aprire il pannello dell'app e selezionare il collegamento in Attività correlate. Verrà visualizzata la pagina Log attività filtrata per le attività eseguite dall'app. Tenere presente che alcune app eseguono attività registrate come eseguite da un utente. Queste attività vengono filtrate automaticamente dai risultati nel log attività. Per ulteriori indagini sull'uso del log attività, vedere Log attività.
  2. Nel pannello selezionare Attività di consenso per analizzare i consensi degli utenti all'app nel log attività.
  3. Se un'app sembra sospetta, è consigliabile analizzare il nome e l'editore dell'app in diversi app store. Concentrarsi sulle app seguenti, che potrebbero essere sospetti:
    • App con un numero ridotto di download.
    • App con una valutazione o un punteggio basso o commenti non validi.
    • App con un editore o un sito Web sospetto.
    • App il cui ultimo aggiornamento non è recente. Questo potrebbe indicare un'app non più supportata.
    • App con autorizzazioni irrilevanti. Questo potrebbe indicare che un'app è rischiosa.
  4. Se l'app è ancora sospetta, è possibile cercare il nome, l'editore e l'URL dell'app online.
  5. È possibile esportare il controllo dell'app OAuth per un'ulteriore analisi degli utenti che hanno autorizzato un'app. Per altre informazioni, vedere Controllo delle app OAuth.

Come correggere le app OAuth sospette

Dopo aver stabilito che un'app OAuth è rischiosa, Defender for Cloud Apps fornisce le opzioni di correzione seguenti:

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.