Delen via

Riskante OAuth-apps onderzoeken en herstellen

  • Artikel

OAuth is een open standaard voor verificatie en autorisatie op basis van tokens. Met OAuth kunnen de accountgegevens van een gebruiker worden gebruikt door services van derden, zonder dat het wachtwoord van de gebruiker wordt opgegeven. OAuth treedt op als tussenpersoon namens de gebruiker en verstrekt de service een toegangstoken waarmee specifieke accountgegevens kunnen worden gedeeld.

Een app die bijvoorbeeld de agenda van de gebruiker analyseert en advies geeft over hoe u productiever kunt worden, heeft toegang nodig tot de agenda van de gebruiker. In plaats van de referenties van de gebruiker op te geven, stelt OAuth de app in staat toegang te krijgen tot de gegevens alleen op basis van een token, dat wordt gegenereerd wanneer de gebruiker toestemming geeft voor een pagina, zoals te zien is in de onderstaande afbeelding.

OAuth-app-machtiging.

Veel apps van derden die mogelijk worden geïnstalleerd door zakelijke gebruikers in uw organisatie, vragen toestemming voor toegang tot gebruikersgegevens en -gegevens en melden zich namens de gebruiker aan in andere cloud-apps. Wanneer gebruikers deze apps installeren, klikken ze vaak op Accepteren zonder de details in de prompt nauwkeurig te bekijken, inclusief het verlenen van machtigingen voor de app. Het accepteren van app-machtigingen van derden is een mogelijk beveiligingsrisico voor uw organisatie.

De volgende OAuth-app-toestemmingspagina kan er bijvoorbeeld legitiem uitzien voor de gemiddelde gebruiker, maar 'Google APIIs Explorer' hoeft geen machtigingen aan te vragen bij Google zelf. Dit geeft dus aan dat de app mogelijk een phishingpoging is, helemaal niet gerelateerd aan Google.

OAuth phishing google.

Als beveiligingsbeheerder hebt u zichtbaarheid en controle nodig over de apps in uw omgeving, inclusief de machtigingen die ze hebben. U hebt de mogelijkheid nodig om te voorkomen dat apps worden gebruikt waarvoor machtigingen zijn vereist voor resources die u wilt intrekken. Daarom biedt Microsoft Defender for Cloud Apps u de mogelijkheid om de app-machtigingen die uw gebruikers hebben verleend, te onderzoeken en te bewaken. Dit artikel is bedoeld om u te helpen bij het onderzoeken van de OAuth-apps in uw organisatie en om u te richten op de apps die waarschijnlijk verdacht zijn.

Onze aanbevolen aanpak is om de apps te onderzoeken met behulp van de mogelijkheden en informatie in de Defender for Cloud Apps-portal om apps met een lage kans op riskantheid te filteren en zich te richten op de verdachte apps.

In deze zelfstudie leert u het volgende:

Opmerking

In dit artikel worden voorbeelden en schermopnamen van de pagina OAuth-apps gebruikt, die wordt gebruikt wanneer app-beheer niet is ingeschakeld.

Als u preview-functies gebruikt en app-governance hebt ingeschakeld, is dezelfde functionaliteit beschikbaar op de pagina App-beheer .

Zie App-governance in Microsoft Defender for Cloud Apps voor meer informatie.

Riskante OAuth-apps detecteren

Het detecteren van een riskante OAuth-app kan worden uitgevoerd met behulp van:

  • Waarschuwingen: React een waarschuwing die wordt geactiveerd door een bestaand beleid.
  • Opsporing: Zoek naar een riskante app tussen alle beschikbare apps, zonder concrete verdenking van een risico.

Riskante apps detecteren met behulp van waarschuwingen

U kunt beleid instellen om u automatisch meldingen te sturen wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt bijvoorbeeld een beleid instellen om u automatisch te waarschuwen wanneer een app wordt gedetecteerd waarvoor hoge machtigingen zijn vereist en die is geautoriseerd door meer dan 50 gebruikers. Zie OAuth-app-beleid voor meer informatie over het maken van OAuth-beleid.

Riskante apps detecteren door opsporing

  1. Ga in de Microsoft Defender Portal onder Cloud-apps naar OAuth-apps. Gebruik de filters en query's om te controleren wat er in uw omgeving gebeurt:

    • Stel het filter in op Machtigingsniveau hoge ernst en communitygebruik niet gebruikelijk. Met dit filter kunt u zich richten op apps die mogelijk zeer riskant zijn, waarbij gebruikers het risico mogelijk hebben onderschat.

    • Selecteer onder Machtigingen alle opties die bijzonder riskant zijn in een specifieke context. U kunt bijvoorbeeld alle filters selecteren die toestemming geven voor toegang tot e-mail, zoals Volledige toegang tot alle postvakken en vervolgens de lijst met apps bekijken om er zeker van te zijn dat ze allemaal echt toegang nodig hebben met betrekking tot e-mail. Dit kan u helpen bij het onderzoeken binnen een specifieke context en het vinden van apps die legitiem lijken, maar onnodige machtigingen bevatten. Deze apps zijn waarschijnlijk riskant.

      OAuth-phishing riskant.

    • Selecteer de opgeslagen query Apps die zijn geautoriseerd door externe gebruikers. Met dit filter kunt u apps vinden die mogelijk niet zijn afgestemd op de beveiligingsstandaarden van uw bedrijf.

  2. Nadat u uw apps hebt bekeken, kunt u zich richten op de apps in de query's die legitiem lijken, maar mogelijk riskant zijn. Gebruik de filters om ze te vinden:

    • Filter op apps die zijn geautoriseerd door een klein aantal gebruikers. Als u zich op deze apps richt, kunt u zoeken naar riskante apps die zijn geautoriseerd door een gecompromitteerde gebruiker.
    • Apps die machtigingen hebben die niet overeenkomen met het doel van de app, bijvoorbeeld een klok-app met volledige toegang tot alle postvakken.

  3. Selecteer elke app om de app-lade te openen en controleer of de app een verdachte naam, uitgever of website heeft.

  4. Bekijk de lijst met apps en doel-apps met een datum onder Laatst geautoriseerd die niet recent is. Deze apps zijn mogelijk niet meer vereist.

    OAuth-app-lade.

Verdachte OAuth-apps onderzoeken

Nadat u hebt vastgesteld dat een app verdacht is en u deze wilt onderzoeken, raden we de volgende belangrijke principes aan voor efficiënt onderzoek:

  • Hoe gebruikelijker en gebruikt een app is, door uw organisatie of online, hoe groter de kans is dat deze veilig is.
  • Een app mag alleen machtigingen vereisen die betrekking hebben op het doel van de app. Als dat niet het geval is, is de app mogelijk riskant.
  • Apps waarvoor hoge bevoegdheden of beheerderstoestemming zijn vereist, zijn waarschijnlijk riskant.
  1. Selecteer de app om de app-lade te openen en selecteer de koppeling onder Gerelateerde activiteiten. Hiermee opent u de pagina Activiteitenlogboek gefilterd op activiteiten die door de app worden uitgevoerd. Houd er rekening mee dat sommige apps activiteiten uitvoeren die zijn geregistreerd als uitgevoerd door een gebruiker. Deze activiteiten worden automatisch gefilterd uit de resultaten in het activiteitenlogboek. Zie Activiteitenlogboek voor verder onderzoek met behulp van het activiteitenlogboek.
  2. Selecteer toestemmingsactiviteiten in de lade om gebruikerstoestemmingen voor de app in het activiteitenlogboek te onderzoeken.
  3. Als een app verdacht lijkt, raden we u aan de naam en uitgever van de app in verschillende app-stores te onderzoeken. Richt u op de volgende apps, wat verdacht kan zijn:
    • Apps met een laag aantal downloads.
    • Apps met een lage beoordeling of score of slechte opmerkingen.
    • Apps met een verdachte uitgever of website.
    • Apps waarvan de laatste update niet recent is. Dit kan duiden op een app die niet meer wordt ondersteund.
    • Apps met irrelevante machtigingen. Dit kan erop wijzen dat een app riskant is.
  4. Als de app nog steeds verdacht is, kunt u de naam, uitgever en URL van de app online onderzoeken.
  5. U kunt de OAuth-app-audit exporteren voor verdere analyse van de gebruikers die een app hebben geautoriseerd. Zie OAuth-app-controle voor meer informatie.

Verdachte OAuth-apps herstellen

Nadat u hebt vastgesteld dat een OAuth-app riskant is, biedt Defender for Cloud Apps de volgende herstelopties:

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.