Badanie i korygowanie ryzykownych aplikacji OAuth

OAuth to otwarty standard uwierzytelniania i autoryzacji opartego na tokenach. Usługa OAuth umożliwia korzystanie z informacji o koncie użytkownika przez usługi innych firm bez ujawniania hasła użytkownika. OAuth działa jako pośrednik w imieniu użytkownika, zapewniając usłudze token dostępu, który autoryzuje określone informacje o koncie do udostępnienia.

Na przykład aplikacja, która analizuje kalendarz użytkownika i udziela porad dotyczących zwiększenia produktywności, wymaga dostępu do kalendarza użytkownika. Zamiast podać poświadczenia użytkownika, usługa OAuth umożliwia aplikacji uzyskanie dostępu do danych tylko na podstawie tokenu, który jest generowany, gdy użytkownik wyraża zgodę na stronę, jak widać na poniższej ilustracji.

Wiele aplikacji innych firm, które mogą być instalowane przez użytkowników biznesowych w organizacji, żąda uprawnień dostępu do informacji i danych użytkownika oraz logowania się w imieniu użytkownika w innych aplikacjach w chmurze. Podczas instalowania tych aplikacji użytkownicy często klikają pozycję Akceptuj bez dokładnego przeglądania szczegółów w wierszu polecenia, w tym udzielania uprawnień do aplikacji. Akceptowanie uprawnień aplikacji innych firm stanowi potencjalne zagrożenie dla bezpieczeństwa organizacji.

Na przykład następująca strona zgody aplikacji OAuth może wyglądać legalnie dla przeciętnego użytkownika, jednak "Eksplorator interfejsów API Google" nie powinien wymagać żądania uprawnień od samego Google. Oznacza to, że aplikacja może być próbą wyłudzania informacji, która w ogóle nie jest związana z firmą Google.

Jako administrator zabezpieczeń potrzebujesz wglądu i kontroli nad aplikacjami w środowisku, które obejmują uprawnienia, które mają. Potrzebna jest możliwość uniemożliwienia korzystania z aplikacji, które wymagają uprawnień do zasobów, które chcesz odwołać. W związku z tym Microsoft Defender for Cloud Apps zapewnia możliwość badania i monitorowania uprawnień aplikacji przyznanych użytkownikom. Ten artykuł ma na celu ułatwienie zbadania aplikacji OAuth w organizacji i skupienie się na aplikacjach, które mogą być bardziej podejrzane.

Zalecamy zbadanie aplikacji przy użyciu możliwości i informacji udostępnianych w portalu Defender for Cloud Apps w celu odfiltrowania aplikacji z małą szansą na ryzyko i skoncentrowania się na podejrzanych aplikacjach.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Wykrywanie ryzykownych aplikacji OAuth
• Badanie ryzykownych aplikacji OAuth
• Korygowanie ryzykownych aplikacji OAuth

Uwaga

W tym artykule użyto przykładów i zrzutów ekranu ze strony aplikacji OAuth , która jest używana, gdy nie masz włączonego ładu aplikacji.

Jeśli używasz funkcji w wersji zapoznawczej i masz włączoną funkcję ładu aplikacji, ta sama funkcja jest dostępna na stronie Ład aplikacji .

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami w Microsoft Defender for Cloud Apps.

Jak wykrywać ryzykowne aplikacje OAuth

Wykrywanie ryzykownej aplikacji OAuth można osiągnąć przy użyciu:

• Alerty: React do alertu wyzwalanego przez istniejące zasady.
• Wyszukiwanie zagrożeń: wyszukaj ryzykowną aplikację wśród wszystkich dostępnych aplikacji bez konkretnych podejrzeń o ryzyko.

Wykrywanie ryzykownych aplikacji przy użyciu alertów

Możesz ustawić zasady, aby automatycznie wysyłać powiadomienia, gdy aplikacja OAuth spełnia określone kryteria. Możesz na przykład ustawić zasady, aby automatycznie powiadamiały Cię o wykryciu aplikacji, która wymaga wysokich uprawnień i została autoryzowana przez ponad 50 użytkowników. Aby uzyskać więcej informacji na temat tworzenia zasad OAuth, zobacz Zasady aplikacji OAuth.

Wykrywanie ryzykownych aplikacji przez wyszukiwanie zagrożeń

1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Aplikacje OAuth. Użyj filtrów i zapytań, aby sprawdzić, co dzieje się w twoim środowisku:

   • Ustaw filtr na wysoką ważność na poziomie uprawnień , a użycie w społeczności nie jest typowe. Korzystając z tego filtru, możesz skupić się na aplikacjach, które są potencjalnie bardzo ryzykowne, gdzie użytkownicy mogą nie doceniać ryzyka.

   • W obszarze Uprawnienia wybierz wszystkie opcje, które są szczególnie ryzykowne w określonym kontekście. Na przykład możesz wybrać wszystkie filtry, które zapewniają uprawnienia dostępu do poczty e-mail, takie jak Pełny dostęp do wszystkich skrzynek pocztowych , a następnie przejrzeć listę aplikacji, aby upewnić się, że wszystkie one naprawdę potrzebują dostępu związanego z pocztą. Może to pomóc w badaniu w określonym kontekście i znalezieniu aplikacji, które wydają się uzasadnione, ale zawierają niepotrzebne uprawnienia. Te aplikacje są bardziej narażone na ryzyko.

     

   • Wybierz zapisane zapytanie Aplikacje autoryzowane przez użytkowników zewnętrznych. Korzystając z tego filtru, możesz znaleźć aplikacje, które mogą nie być zgodne ze standardami zabezpieczeń firmy.

2. Po przejrzeniu aplikacji możesz skupić się na aplikacjach w zapytaniach, które wydają się uzasadnione, ale mogą być ryzykowne. Użyj filtrów, aby je znaleźć:

   • Filtruj aplikacje autoryzowane przez niewielką liczbę użytkowników. Jeśli skoncentrujesz się na tych aplikacjach, możesz szukać ryzykownych aplikacji, które zostały autoryzowane przez użytkownika z naruszeniem zabezpieczeń.
   • Aplikacje, które mają uprawnienia, które nie są zgodne z przeznaczeniem aplikacji, na przykład aplikacja zegara z pełnym dostępem do wszystkich skrzynek pocztowych.

3. Wybierz każdą aplikację, aby otworzyć szufladę aplikacji, i sprawdź, czy aplikacja ma podejrzaną nazwę, wydawcę lub witrynę internetową.

4. Przyjrzyj się liście aplikacji i aplikacji docelowych, które mają datę w obszarze Ostatnia autoryzacja , która nie jest ostatnia. Te aplikacje mogą nie być już wymagane.

   

Jak zbadać podejrzane aplikacje OAuth

Po ustaleniu, że aplikacja jest podejrzana i chcesz ją zbadać, zalecamy wykonanie skutecznego badania następujących kluczowych zasad:

• Bardziej popularna i używana aplikacja jest przez organizację lub online, tym większe prawdopodobieństwo, że będzie bezpieczna.
• Aplikacja powinna wymagać tylko uprawnień związanych z przeznaczeniem aplikacji. Jeśli tak nie jest, aplikacja może być ryzykowna.
• Aplikacje, które wymagają wysokich uprawnień lub zgody administratora, są bardziej narażone na ryzyko.

1. Wybierz aplikację, aby otworzyć szufladę aplikacji i wybierz link w obszarze Powiązane działania. Spowoduje to otwarcie strony dziennika aktywności odfiltrowanej pod kątem działań wykonywanych przez aplikację. Należy pamiętać, że niektóre aplikacje wykonują działania zarejestrowane jako wykonywane przez użytkownika. Te działania są automatycznie filtrowane z wyników w dzienniku aktywności. Aby uzyskać więcej informacji na temat korzystania z dziennika aktywności, zobacz Dziennik aktywności.
2. W szufladzie wybierz pozycję Działania zgody , aby zbadać zgody użytkowników na aplikację w dzienniku aktywności.
3. Jeśli aplikacja wydaje się podejrzana, zalecamy zbadanie nazwy i wydawcy aplikacji w różnych sklepach z aplikacjami. Skoncentruj się na następujących aplikacjach, które mogą być podejrzeniami:
   • Aplikacje z małą liczbą pobrań.
   • Aplikacje z niską oceną lub oceną lub złymi komentarzami.
   • Aplikacje z podejrzanym wydawcą lub witryną internetową.
   • Aplikacje, których ostatnia aktualizacja nie jest ostatnia. Może to wskazywać aplikację, która nie jest już obsługiwana.
   • Aplikacje, które mają nieistotne uprawnienia. Może to wskazywać, że aplikacja jest ryzykowna.
4. Jeśli aplikacja jest nadal podejrzana, możesz sprawdzić nazwę aplikacji, wydawcę i adres URL w trybie online.
5. Możesz wyeksportować inspekcję aplikacji OAuth w celu dalszej analizy użytkowników, którzy autoryzowali aplikację. Aby uzyskać więcej informacji, zobacz Inspekcja aplikacji OAuth.

Jak korygować podejrzane aplikacje OAuth

Po ustaleniu, że aplikacja OAuth jest ryzykowna, Defender for Cloud Apps udostępnia następujące opcje korygowania:

• Ręczne korygowanie: możesz łatwo zakazać odwoływania aplikacji ze strony aplikacji OAuth

• Automatyczne korygowanie: można utworzyć zasady, które automatycznie odwołują aplikację lub odwołują określonego użytkownika z aplikacji.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.