Udostępnij za pośrednictwem


Wykrywanie i korygowanie niedozwolonych dotacji na zgodę

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Streszczenie Dowiedz się, jak rozpoznać i skorygować nielegalny atak polegający na udzieleniu zgody na platformie Microsoft 365.

W przypadku ataku polegającego na udzieleniu nielegalnej zgody osoba atakująca tworzy aplikację zarejestrowaną na platformie Azure, która żąda dostępu do danych, takich jak informacje kontaktowe, poczta e-mail lub dokumenty. Następnie osoba atakująca nakłania użytkownika końcowego do udzielenia tej aplikacji zgody na dostęp do swoich danych w wyniku ataku wyłudzania informacji lub wstrzyknięcia nielegalnego kodu do zaufanej witryny internetowej. Po udzieleniu zgody nielegalnej aplikacji ma ona dostęp na poziomie konta do danych bez konieczności posiadania konta organizacyjnego. Normalne kroki korygowania (na przykład resetowanie haseł lub wymaganie uwierzytelniania wieloskładnikowego)) nie są skuteczne w przypadku tego typu ataków, ponieważ te aplikacje są zewnętrzne dla organizacji.

Te ataki korzystają z modelu interakcji, który zakłada, że jednostka wywołująca informacje jest automatyzacją, a nie człowiekiem.

Ważna

Czy podejrzewasz, że masz teraz problemy z nielegalnymi dotacjami na zgodę z aplikacji? Microsoft Defender for Cloud Apps ma narzędzia do wykrywania, badania i korygowania aplikacji OAuth. Ten artykuł Defender for Cloud Apps zawiera samouczek przedstawiający sposób badania ryzykownych aplikacji OAuth. Możesz również ustawić zasady aplikacji OAuth , aby zbadać uprawnienia żądane przez aplikację, które użytkownicy autoryzuje te aplikacje, oraz szeroko zatwierdzać lub blokować te żądania uprawnień.

Musisz przeszukać dziennik inspekcji , aby znaleźć znaki, nazywane również wskaźnikami naruszenia (IOC) tego ataku. W przypadku organizacji z wieloma aplikacjami zarejestrowanymi na platformie Azure i dużą bazą użytkowników najlepszym rozwiązaniem jest cotygodniowe przeglądanie przyznawania zgody organizacji.

Kroki znajdowania oznak tego ataku

  1. Otwórz portal Microsoft Defender pod adresemhttps://security.microsoft.com, a następnie wybierz pozycję Inspekcja. Możesz też przejść bezpośrednio do strony Inspekcja, używając https://security.microsoft.com/auditlogsearch.

  2. Na stronie Inspekcja sprawdź, czy wybrano kartę Wyszukiwanie , a następnie skonfiguruj następujące ustawienia:

    • Zakres dat i godzin
    • Działania: sprawdź, czy wybrano opcję Pokaż wyniki dla wszystkich działań .

    Po zakończeniu wybierz pozycję Wyszukaj.

  3. Wybierz kolumnę Działanie , aby posortować wyniki i wyszukać pozycję Zgoda na aplikację.

  4. Wybierz wpis z listy, aby wyświetlić szczegóły działania. Sprawdź, czy wartość IsAdminConsent jest ustawiona na wartość True.

Uwaga

Wyświetlenie odpowiedniego wpisu dziennika inspekcji w wynikach wyszukiwania po wystąpieniu zdarzenia może potrwać od 30 minut do 24 godzin.

Czas zachowywania i przeszukiwania rekordu inspekcji w dzienniku inspekcji zależy od subskrypcji platformy Microsoft 365, a w szczególności od typu licencji przypisanej do określonego użytkownika. Aby uzyskać więcej informacji, zobacz Dziennik inspekcji.

Wartość true wskazuje, że ktoś z dostępem administratora globalnego mógł udzielić szerokiego dostępu do danych. Jeśli ta wartość jest nieoczekiwana, wykonaj kroki w celu potwierdzenia ataku.

Jak potwierdzić atak

Jeśli masz co najmniej jedno wystąpienie we/wy na liście, musisz wykonać dalsze badania, aby pozytywnie potwierdzić, że doszło do ataku. Aby potwierdzić atak, możesz użyć dowolnej z tych trzech metod:

  • Inwentaryzowanie aplikacji i ich uprawnień przy użyciu centrum administracyjne Microsoft Entra. Ta metoda jest dokładna, ale można sprawdzić tylko jednego użytkownika w czasie, który może być bardzo czasochłonne, jeśli masz wielu użytkowników do sprawdzenia.
  • Inwentaryzacja aplikacji i ich uprawnień przy użyciu programu PowerShell. Jest to najszybsza i najbardziej dokładna metoda z najmniejszą ilością narzutu.
  • Aby użytkownicy indywidualnie sprawdzili swoje aplikacje i uprawnienia, zgłoś wyniki administratorom w celu skorygowania.

Tworzenie spisu aplikacji z dostępem w organizacji

Dostępne są następujące opcje tworzenia spisu aplikacji dla użytkowników:

  • Centrum administracyjne Microsoft Entra.
  • Program PowerShell.
  • Aby użytkownicy indywidualnie wyliczali własny dostęp do aplikacji.

Kroki korzystania z centrum administracyjne Microsoft Entra

Możesz wyszukać aplikacje, do których każdy użytkownik udzielił uprawnień, korzystając z centrum administracyjne Microsoft Entra:

  1. Otwórz centrum administracyjne Microsoft Entra pod adresem https://entra.microsoft.com, a następnie przejdź do pozycjiUżytkownicy>tożsamości>Wszyscy użytkownicy. Możesz też przejść bezpośrednio do pozycji Użytkownicy>Wszyscy użytkownicy, użyj polecenia https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Znajdź i wybierz użytkownika, którego chcesz przejrzeć, klikając wartość Nazwa wyświetlana .
  3. Na otwartej stronie szczegółów użytkownika wybierz pozycję Aplikacje.

W tych krokach przedstawiono aplikacje przypisane do użytkownika oraz uprawnienia, które mają aplikacje.

Kroki umożliwiające użytkownikom wyliczenie dostępu do aplikacji

Niech użytkownicy przejdą do https://myapps.microsoft.com witryny i przejrzyją tam swój dostęp do własnej aplikacji. Powinny mieć możliwość wyświetlania wszystkich aplikacji z dostępem, wyświetlania ich szczegółów (w tym zakresu dostępu) oraz odwoływania uprawnień do podejrzanych lub nielegalnych aplikacji.

Kroki w programie PowerShell

Najprostszym sposobem zweryfikowania ataku polegającego na udzieleniu nielegalnej zgody jest uruchomienie Get-AzureADPSPermissions.ps1, który powoduje zrzucenie wszystkich aplikacji zgody OAuth i aplikacji OAuth dla wszystkich użytkowników dzierżawy do jednego pliku .csv.

Wymagania wstępne

  • Zainstalowano bibliotekę programu PowerShell Azure AD.
  • Uprawnienia administratora globalnego w organizacji, w której jest uruchamiany skrypt.
  • Uprawnienia administratora lokalnego na komputerze, na którym są uruchamiane skrypty.

Ważna

Zdecydowanie zalecamy wymaganie uwierzytelniania wieloskładnikowego na koncie administratora. Ten skrypt obsługuje uwierzytelnianie uwierzytelniania wieloskładnikowego.

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Uwaga

Azure AD program PowerShell ma zostać wycofany 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Program Microsoft Graph PowerShell umożliwia dostęp do wszystkich interfejsów API programu Microsoft Graph i jest dostępny w programie PowerShell 7. Odpowiedzi na typowe zapytania dotyczące migracji można znaleźć w temacie Migration FAQ (Często zadawane pytania dotyczące migracji).

  1. Zaloguj się do komputera, na którym chcesz uruchomić skrypty z uprawnieniami administratora lokalnego.

  2. Pobierz lub skopiuj skrypt Get-AzureADPSPermissions.ps1 z usługi GitHub do folderu, który można łatwo znaleźć i zapamiętać. Ten folder jest również miejscem, w którym należy napisać plik wyjściowy "permissions.csv".

  3. Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień jako administrator w folderze, w którym zapisano skrypt.

  4. Połącz się z katalogiem przy użyciu polecenia cmdlet Connect-MgGraph .

  5. Uruchom to polecenie programu PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Skrypt tworzy jeden plik o nazwie Permissions.csv. Wykonaj następujące kroki, aby wyszukać niedozwolone przyznawanie uprawnień aplikacji:

  1. W kolumnie ConsentType (kolumna G) wyszukaj wartość "AllPrinciples". Uprawnienie AllPrincipals umożliwia aplikacji klienckiej dostęp do zawartości wszystkich osób w dzierżawie. Natywne aplikacje platformy Microsoft 365 wymagają tego uprawnienia, aby działały poprawnie. Każda aplikacja spoza firmy Microsoft z tym uprawnieniem powinna być dokładnie przeglądana.

  2. W kolumnie Uprawnienie (kolumna F) przejrzyj uprawnienia, które każda delegowana aplikacja ma do zawartości. Poszukaj uprawnień "Odczyt" i "Zapis" lub "Wszystkie" i dokładnie przejrzyj te uprawnienia, ponieważ mogą one nie być odpowiednie.

  3. Przejrzyj konkretnych użytkowników, którzy mają udzielone zgody. Jeśli użytkownicy o wysokim profilu lub wysokiej wartości mają udzielone nieodpowiednie zgody, należy zbadać dokładniej.

  4. W kolumnie ClientDisplayName (kolumna C) wyszukaj aplikacje, które wydają się podejrzane. Aplikacje z błędnie napisanymi nazwami, super mdłymi nazwami lub nazwami brzmiące hakerami powinny być dokładnie przeglądane.

Określanie zakresu ataku

Po zakończeniu inwentaryzacji dostępu do aplikacji przejrzyj dziennik inspekcji , aby określić pełny zakres naruszenia. Wyszukaj użytkowników, których dotyczy problem, przedziały czasowe, do których nielegalna aplikacja miała dostęp do twojej organizacji, oraz uprawnienia, które miała aplikacja. Dziennik inspekcji można przeszukiwać w portalu Microsoft Defender.

Ważna

Inspekcja skrzynek pocztowych i inspekcja aktywności dla administratorów i użytkowników muszą zostać włączone przed atakiem, aby można było uzyskać te informacje.

Po zidentyfikowaniu aplikacji z nielegalnymi uprawnieniami masz kilka sposobów usunięcia tego dostępu:

  • Możesz odwołać uprawnienie aplikacji w centrum administracyjne Microsoft Entra, wykonując następujące kroki:

    1. Otwórz centrum administracyjne Microsoft Entra pod adresem https://entra.microsoft.com, a następnie przejdź do pozycjiUżytkownicy>tożsamości>Wszyscy użytkownicy. Możesz też przejść bezpośrednio do pozycji Użytkownicy>Wszyscy użytkownicy, użyj polecenia https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Znajdź i wybierz użytkownika, którego dotyczy problem, klikając wartość Nazwa wyświetlana .
    3. Na otwartej stronie szczegółów użytkownika wybierz pozycję Aplikacje.
    4. Na stronie Aplikacje wybierz niedozwoloną aplikację, klikając wartość Nazwa .
    5. Na otwartej stronie Szczegóły przypisania wybierz pozycję Usuń.
  • Udzielenie zgody OAuth można odwołać za pomocą programu PowerShell, wykonując kroki opisane w temacie Remove-MgOauth2PermissionGrant

  • Przypisanie roli aplikacji usługi można odwołać za pomocą programu PowerShell, wykonując kroki opisane w temacie Remove-MgServicePrincipalAppRoleAssignment.

  • Możesz wyłączyć logowanie dla konta, którego dotyczy problem, co powoduje wyłączenie dostępu aplikacji do danych na koncie. Ta akcja nie jest idealna dla produktywności użytkowników, ale może to być krótkoterminowe korygowanie w celu szybkiego ograniczenia wyników ataku.

  • Możesz wyłączyć zintegrowane aplikacje w organizacji. Ta akcja jest drastyczna. Chociaż uniemożliwia to użytkownikom przypadkowe udzielanie dostępu do złośliwej aplikacji, uniemożliwia również wszystkim użytkownikom udzielanie zgody na dowolne aplikacje. Nie zalecamy tej akcji, ponieważ poważnie pogarsza ona produktywność użytkowników w aplikacjach innych firm. Zintegrowane aplikacje można wyłączyć, wykonując kroki opisane w temacie Włączanie lub wyłączanie zintegrowanych aplikacji.

Zobacz też