Badanie złamanych zabezpieczeń i złośliwych aplikacji
Ten artykuł zawiera wskazówki dotyczące identyfikowania i badania złośliwych ataków na co najmniej jedną aplikację w dzierżawie klienta. Instrukcje krok po kroku ułatwiają podjęcie wymaganych działań naprawczych w celu ochrony informacji i zminimalizowania dalszych zagrożeń.
- Wymagania wstępne: obejmuje określone wymagania, które należy wykonać przed rozpoczęciem badania. Na przykład rejestrowanie, które powinno być włączone, wymagane są między innymi role i uprawnienia.
- Przepływ pracy: przedstawia przepływ logiczny, który należy wykonać, aby wykonać to badanie.
- Kroki badania: zawiera szczegółowe wskazówki krok po kroku dotyczące tego konkretnego badania.
- Kroki zawierające: zawiera kroki wyłączania naruszonych aplikacji.
- Kroki odzyskiwania: zawiera ogólne kroki dotyczące odzyskiwania/eliminowania złośliwego ataku na naruszone aplikacje.
- Dokumentacja: zawiera inne materiały do czytania i materiałów referencyjnych.
Wymagania wstępne
Przed rozpoczęciem badania upewnij się, że masz odpowiednie narzędzia i uprawnienia do zbierania szczegółowych informacji.
Aby korzystać z sygnałów ochrony tożsamości, dzierżawa musi być licencjonowana dla microsoft Entra ID P2.
- Omówienie pojęć związanych z ryzykiem usługi Identity Protection
- Omówienie pojęć związanych z badaniem usługi Identity Protection
Konto z co najmniej rolą Administratora zabezpieczeń.
Możliwość korzystania z Eksploratora programu Microsoft Graph i znajomości (w pewnym stopniu) przy użyciu interfejsu API programu Microsoft Graph.
Zapoznaj się z pojęciami dotyczącymi inspekcji aplikacji (część https://aka.ms/AzureADSecOps).
Upewnij się, że wszystkie aplikacje dla przedsiębiorstw w dzierżawie mają właściciela ustawionego na potrzeby odpowiedzialności. Zapoznaj się z pojęciami dotyczącymi przeglądu właścicieli aplikacji i przypisywania właścicieli aplikacji.
Zapoznaj się z pojęciami badania udzielania zgody aplikacji (część https://aka.ms/IRPlaybooks).
Upewnij się, że rozumiesz następujące uprawnienia firmy Microsoft Entra:
Zapoznaj się z pojęciami dotyczącymi wykrywania ryzyka tożsamości obciążenia.
Aby korzystać z aplikacji Microsoft Defender dla Chmury Apps, musisz mieć pełną licencję platformy Microsoft 365 E5.
- Omówienie pojęć związanych z badaniem alertów wykrywania anomalii
Zapoznaj się z następującymi zasadami zarządzania aplikacjami:
Zapoznaj się z następującymi zasadami ładu aplikacji:
Wymagane narzędzia
Aby przeprowadzić skuteczne badanie, zainstaluj następujący moduł programu PowerShell i zestaw narzędzi na maszynie do badania:
Przepływ pracy
Kroki badania
W ramach tego badania przyjęto założenie, że istnieje wskazanie potencjalnego naruszenia zabezpieczeń aplikacji w postaci raportu użytkownika, przykładu dzienników logowania firmy Microsoft Entra lub wykrywania ochrony tożsamości. Pamiętaj, aby ukończyć i włączyć wszystkie wymagane kroki wymagań wstępnych.
Ten podręcznik jest tworzony z zamiarem, że nie wszyscy klienci firmy Microsoft i ich zespoły badania mają pełny pakiet licencji Microsoft 365 E5 lub Microsoft Entra ID P2 dostępny lub skonfigurowany. Ten podręcznik wyróżnia inne możliwości automatyzacji, jeśli jest to konieczne.
Określanie typu aplikacji
Ważne jest, aby określić typ aplikacji (wielodostępnej lub pojedynczej) na początku fazy badania, aby uzyskać poprawne informacje potrzebne do skontaktowania się z właścicielem aplikacji. Aby uzyskać więcej informacji, zobacz Dzierżawa w usłudze Microsoft Entra ID.
Aplikacje wielodostępne
W przypadku aplikacji wielodostępnych aplikacja jest hostowana i zarządzana przez inną firmę. Zidentyfikuj proces wymagany do skontaktowania się z właścicielem aplikacji i zgłaszania problemów.
Aplikacje z jedną dzierżawą
Znajdź szczegóły kontaktowe właściciela aplikacji w organizacji. Możesz ją znaleźć na karcie Właściciele w sekcji Aplikacje dla przedsiębiorstw. Alternatywnie organizacja może mieć bazę danych zawierającą te informacje.
Możesz również wykonać to zapytanie programu Microsoft Graph:
GET https://graph.microsoft.com/v1.0/applications/{id}/owners
Sprawdzanie usługi Identity Protection — ryzykowne tożsamości obciążeń
Ta funkcja jest dostępna w wersji zapoznawczej podczas pisania tego podręcznika i wymagań dotyczących licencjonowania, które mają zastosowanie do jego użycia. Ryzykowne tożsamości obciążeń mogą być wyzwalaczem do zbadania jednostki usługi, ale może również służyć do dalszego zbadania innych zidentyfikowanych wyzwalaczy. Stan ryzyka jednostki usługi można sprawdzić przy użyciu karty Identity Protection — ryzykownych tożsamości obciążeń lub możesz użyć interfejsu API programu Microsoft Graph.
Sprawdzanie nietypowego zachowania logowania
Pierwszym krokiem badania jest wyszukanie dowodów na nietypowe wzorce uwierzytelniania w użyciu jednostki usługi. W witrynie Azure Portal, usłudze Azure Monitor, usłudze Microsoft Sentinel lub systemie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) wybranej organizacji wyszukaj następujące elementy w sekcji Logowania główne usługi:
- Lokalizacja — czy jednostka usługi uwierzytelnia się z lokalizacji\adresów IP, których nie oczekujesz?
- Błędy — czy istnieje duża liczba niepowodzeń uwierzytelniania dla jednostki usługi?
- Znaczniki czasu — czy występują pomyślne uwierzytelnienia występujące w czasie, którego nie można oczekiwać?
- Częstotliwość — czy istnieje zwiększona częstotliwość uwierzytelniania dla jednostki usługi?
- Wyciek poświadczeń — czy wszystkie poświadczenia aplikacji są zakodowane i publikowane w publicznym źródle, na przykład GitHub?
Jeśli wdrożono usługę Microsoft Entra ID Identity Protection — ryzykowne tożsamości obciążeń, sprawdź wykrycia podejrzanych logów i poświadczeń wycieku. Aby uzyskać więcej informacji, zobacz zatrzymanie ryzyka związanego z tożsamością obciążenia.
Sprawdzanie zasobu docelowego
W obszarze Logowania jednostki usługi sprawdź również zasób , do którego uzyskuje dostęp jednostka usługi podczas uwierzytelniania. Ważne jest, aby uzyskać dane wejściowe od właściciela aplikacji, ponieważ znają zasoby, do których jednostka usługi powinna uzyskiwać dostęp.
Sprawdzanie nietypowych zmian poświadczeń
Użyj dzienników inspekcji, aby uzyskać informacje na temat zmian poświadczeń w aplikacjach i jednostkach usługi. Filtruj według kategorii według zarządzania aplikacjami i działania według aktualizacji aplikacji — certyfikaty i zarządzanie wpisami tajnymi.
- Sprawdź, czy nowo utworzone lub nieoczekiwane poświadczenia są przypisane do jednostki usługi.
- Sprawdź poświadczenia w jednostce usługi przy użyciu interfejsu API programu Microsoft Graph.
- Sprawdź zarówno aplikację, jak i skojarzone obiekty jednostki usługi.
- Sprawdź dowolną utworzoną lub zmodyfikowaną rolę niestandardową. Zanotuj uprawnienia oznaczone poniżej:
Jeśli wdrożono nadzór nad aplikacjami w usłudze Microsoft Defender dla Chmury Apps, sprawdź witrynę Azure Portal, aby uzyskać alerty dotyczące aplikacji. Aby uzyskać więcej informacji, zobacz Wprowadzenie do wykrywania i korygowania zagrożeń aplikacji.
Jeśli wdrożono usługę Identity Protection, sprawdź raport "Wykrywanie ryzyka" i w tożsamości użytkownika lub obciążenia "historia ryzyka".
Jeśli wdrożono Microsoft Defender dla Chmury Apps, upewnij się, że zasady "Nietypowe dodawanie poświadczeń do aplikacji OAuth" jest włączone i sprawdź otwarte alerty.
Aby uzyskać więcej informacji, zobacz Nietypowe dodawanie poświadczeń do aplikacji OAuth.
Ponadto można wykonywać zapytania dotyczące interfejsów API servicePrincipalRiskDetections i interfejsów API riskDetections użytkownika, aby pobrać te wykrycia ryzyka.
Wyszukaj nietypowe zmiany konfiguracji aplikacji
- Sprawdź uprawnienia interfejsu API przypisane do aplikacji, aby upewnić się, że uprawnienia są zgodne z oczekiwaniami aplikacji.
- Sprawdź dzienniki inspekcji (filtruj działanie według aktualizacji aplikacji lub jednostki usługi aktualizacji).
- Sprawdź, czy parametry połączenia są spójne i czy adres URL wylogowania został zmodyfikowany.
- Sprawdź, czy domeny w adresie URL są zgodne z tymi zarejestrowanymi.
- Ustal, czy ktoś dodał nieautoryzowany adres URL przekierowania.
- Potwierdź własność identyfikatora URI przekierowania, którego jesteś właścicielem, aby upewnić się, że nie wygaśnie i został odrzucony przez przeciwnika.
Ponadto jeśli wdrożono Microsoft Defender dla Chmury Apps, sprawdź witrynę Azure Portal pod kątem alertów dotyczących aktualnie badanej aplikacji. Nie wszystkie zasady alertów są domyślnie włączone dla aplikacji OAuth, dlatego upewnij się, że wszystkie te zasady są włączone. Aby uzyskać więcej informacji, zobacz zasady aplikacji OAuth. Możesz również wyświetlić informacje o częstości występowania aplikacji i ostatnich działaniach na karcie Badanie>aplikacji OAuth.
Sprawdzanie podejrzanych ról aplikacji
- Możesz również użyć dzienników inspekcji. Filtruj działanie według dodaj przypisanie roli aplikacji do jednostki usługi.
- Sprawdź, czy przypisane role mają wysokie uprawnienia.
- Sprawdź, czy te uprawnienia są niezbędne.
Sprawdzanie niezweryfikowanych aplikacji komercyjnych
- Sprawdź, czy są używane aplikacje z galerii komercyjnej (opublikowane i zweryfikowane).
Sprawdzanie pod kątem wskazania ujawnienia informacji o właściwości keyCredential
Przejrzyj dzierżawę pod kątem potencjalnego ujawnienia informacji o właściwości keyCredential zgodnie z opisem w artykule CVE-2021-42306.
Aby zidentyfikować i skorygować aplikacje firmy Microsoft Entra skojarzone z kontami Uruchom jako usługi Automation, przejdź do repozytorium GitHub ze wskazówkami dotyczącymi korygowania.
Ważne
Jeśli odkryjesz dowody naruszenia, ważne jest, aby wykonać kroki wyróżnione w sekcjach zawierania i odzyskiwania. Te kroki pomagają wyeliminować ryzyko, ale przeprowadzić dalsze badania, aby zrozumieć źródło naruszenia, aby uniknąć dalszego wpływu i zapewnić usunięcie złych podmiotów.
Istnieją dwie podstawowe metody uzyskiwania dostępu do systemów za pośrednictwem aplikacji. Pierwszy polega na tym, że aplikacja jest wyrażana przez administratora lub użytkownika, zwykle za pośrednictwem ataku wyłudzania informacji. Ta metoda jest częścią początkowego dostępu do systemu i jest często nazywana "wyłudzaniem zgody".
Druga metoda obejmuje już naruszone konto administratora tworzące nową aplikację na potrzeby trwałości, zbierania danych i pozostania pod radarem. Na przykład administrator z naruszeniem zabezpieczeń może utworzyć aplikację OAuth z pozornie nieszkodliwą nazwą, unikając wykrywania i zezwalania na długoterminowy dostęp do danych bez konieczności posiadania konta. Ta metoda jest często spotykana w atakach państwowych w kraju.
Poniżej przedstawiono niektóre kroki, które można wykonać w celu dalszego zbadania.
Sprawdź ujednolicony dziennik inspekcji platformy Microsoft 365 (UAL) pod kątem wskazówek dotyczących wyłudzania informacji z ostatnich siedmiu dni
Czasami, gdy osoby atakujące używają złośliwych lub naruszonych aplikacji jako środka trwałości lub eksfiltracji danych, jest zaangażowana kampania wyłudzania informacji. Na podstawie ustaleń z poprzednich kroków należy przejrzeć tożsamości:
- Właściciele aplikacji
- Administratorzy zgody
Przejrzyj tożsamości pod kątem wskazówek dotyczących ataków wyłudzających informacje w ciągu ostatnich 24 godzin. Zwiększ ten przedział czasu w razie potrzeby do 7, 14 i 30 dni, jeśli nie ma żadnych natychmiastowych wskazówek. Aby uzyskać szczegółowy podręcznik badania wyłudzania informacji, zobacz podręcznik badania wyłudzania informacji.
Wyszukiwanie zgody złośliwych aplikacji w ciągu ostatnich siedmiu dni
Aby uzyskać aplikację dodaną do dzierżawy, osoby atakujące fałszować użytkowników lub administratorów, aby wyrazić zgodę na aplikacje. Aby dowiedzieć się więcej na temat oznak ataku, zobacz podręcznik udzielania zgody aplikacji na badanie.
Sprawdzanie zgody aplikacji dla oflagowanych aplikacji
Sprawdzanie dzienników inspekcji
Aby wyświetlić wszystkie udzielanie zgody dla tej aplikacji, przefiltruj pozycję Działanie według zgody na aplikację.
Korzystanie z dzienników inspekcji centrum administracyjnego firmy Microsoft Entra
Wykonywanie zapytań dotyczących dzienników inspekcji przy użyciu programu Microsoft Graph
a) Filtruj dla określonego przedziału czasu:
GET https://graph.microsoft.com/v1.0/auditLogs/auditLogs/directoryAudits?&$filter=activityDateTime le 2022-01-24
b) Filtruj dzienniki inspekcji pod kątem wpisów dziennika inspekcji "Zgoda na aplikacje":
https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?directoryAudits?$filter=ActivityType eq 'Consent to application'
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/directoryAudits",
"value": [
{
"id": "Directory_0da73d01-0b6d-4c6c-a083-afc8c968e655_78XJB_266233526",
"category": "ApplicationManagement",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"result": "success",
"resultReason": "",
"activityDisplayName": "Consent to application",
"activityDateTime": "2022-03-25T21:21:37.9452149Z",
"loggedByService": "Core Directory",
"operationType": "Assign",
"initiatedBy": {
"app": null,
"user": {
"id": "8b3f927e-4d89-490b-aaa3-e5d4577f1234",
"displayName": null,
"userPrincipalName": "admin@contoso.com",
"ipAddress": "55.154.250.91",
"userType": null,
"homeTenantId": null,
"homeTenantName": null
}
},
"targetResources": [
{
"id": "d23d38a1-02ae-409d-884c-60b03cadc989",
"displayName": "Graph explorer (official site)",
"type": "ServicePrincipal",
"userPrincipalName": null,
"groupType": null,
"modifiedProperties": [
{
"displayName": "ConsentContext.IsAdminConsent",
"oldValue": null,
"newValue": "\"True\""
},
c) Korzystanie z usługi Log Analytics
AuditLogs
| where ActivityDisplayName == "Consent to application"
Aby uzyskać więcej informacji, zobacz Podręcznik udzielania zgody aplikacji na badanie.
Ustal, czy wystąpiła podejrzana zgoda użytkownika końcowego na aplikację
Użytkownik może autoryzować aplikację w celu uzyskania dostępu do niektórych danych w chronionym zasobie, działając jako ten użytkownik. Uprawnienia zezwalające na dostęp tego typu są nazywane "uprawnieniami delegowanymi" lub zgodą użytkownika.
Aby znaleźć aplikacje, które są wyrażane przez użytkowników, użyj usługi LogAnalytics, aby wyszukać dzienniki inspekcji:
AuditLogs
| where ActivityDisplayName == "Consent to application" and (parse_json(tostring(parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue)) <> "True")
Sprawdź dzienniki inspekcji, aby dowiedzieć się, czy przyznane uprawnienia są zbyt szerokie (w całym dzierżawie lub w przypadku zgody administratora)
Przeglądanie uprawnień przyznanych aplikacji lub jednostki usługi może być czasochłonnym zadaniem. Zacznij od zrozumienia potencjalnie ryzykownych uprawnień w identyfikatorze Entra firmy Microsoft.
Teraz postępuj zgodnie ze wskazówkami dotyczącymi sposobu wyliczania i przeglądania uprawnień w badaniu udzielania zgody aplikacji.
Sprawdź, czy uprawnienia zostały przyznane przez tożsamości użytkowników, które nie powinny mieć takiej możliwości, czy też akcje zostały wykonane w dziwnych datach i godzinach
Przejrzyj przy użyciu dzienników inspekcji:
AuditLogs
| where OperationName == "Consent to application"
//| where parse_json(tostring(TargetResources[0].modifiedProperties))[4].displayName == "ConsentAction.Permissions"
Możesz również użyć dzienników inspekcji firmy Microsoft Entra, filtrując według opcji Zgoda na aplikację. W sekcji Szczegóły dziennika inspekcji kliknij pozycję Zmodyfikowane właściwości, a następnie przejrzyj sekcję ConsentAction.Permissions:
Kroki zawierania
Po zidentyfikowaniu co najmniej jednej aplikacji lub tożsamości obciążenia jako złośliwych lub naruszonych zabezpieczeniach może nie być natychmiast konieczne wprowadzenie poświadczeń dla tej aplikacji ani natychmiastowe usunięcie aplikacji.
Ważne
Przed wykonaniem poniższego kroku organizacja musi rozważyć wpływ zabezpieczeń i wpływ na działalność biznesową wyłączania aplikacji. Jeśli wpływ na firmę wyłączenia aplikacji jest zbyt duży, rozważ przygotowanie i przejście do etapu odzyskiwania tego procesu.
Wyłączanie aplikacji z naruszonym zabezpieczeniami
Typowa strategia zawierania obejmuje wyłączenie logowania się do zidentyfikowanej aplikacji w celu nadania zespołowi reagowania na zdarzenia lub czasowi jednostki biznesowej, którego dotyczy problem, w celu oceny wpływu usunięcia lub rolowania klucza. Jeśli badanie prowadzi do przekonania, że poświadczenia konta administratora również zostały naruszone, tego typu działania powinny być koordynowane ze zdarzeniem eksmisji, aby upewnić się, że wszystkie trasy dostępu do dzierżawy są odcięte jednocześnie.
Możesz również użyć następującego kodu programu PowerShell programu Microsoft Graph, aby wyłączyć logowanie do aplikacji:
# The AppId of the app to be disabled
$appId = "{AppId}"
# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"
if ($servicePrincipal) {
# Service principal exists already, disable it
$ServicePrincipalUpdate =@{
"accountEnabled" = "false"
}
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -BodyParameter $ServicePrincipalUpdate
} else {
# Service principal does not yet exist, create it and disable it at the same time
$ServicePrincipalID=@{
"AppId" = $appId
"accountEnabled" = "false"
}
$servicePrincipal = New-MgServicePrincipal -BodyParameter $ServicePrincipalId
}
Kroki odzyskiwania
Korygowanie jednostek usługi
Wyświetl listę wszystkich poświadczeń przypisanych do ryzykownych jednostek usługi. Najlepszym sposobem na wykonanie wywołania programu Microsoft Graph przy użyciu polecenia GET ~/application/{id}, gdzie przekazany identyfikator to identyfikator obiektu aplikacji.
Przeanalizuj dane wyjściowe dla poświadczeń. Dane wyjściowe mogą zawierać wartości passwordCredentials lub keyCredentials. Zarejestruj identyfikatory keyId dla wszystkich.
"keyCredentials": [], "parentalControlSettings": { "countriesBlockedForMinors": [], "legalAgeGroupRule": "Allow" }, "passwordCredentials": [ { "customKeyIdentifier": null, "displayName": "Test", "endDateTime": "2021-12-16T19:19:36.997Z", "hint": "7~-", "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", "secretText": null, "startDateTime": "2021-06-16T18:19:36.997Z" } ],
Dodaj nowe poświadczenia certyfikatu (x509) do obiektu aplikacji przy użyciu interfejsu API addKey aplikacji.
POST ~/applications/{id}/addKey
Natychmiast usuń wszystkie stare poświadczenia. Dla każdego starego poświadczenia hasła usuń je przy użyciu:
POST ~/applications/{id}/removePassword
Dla każdego starego poświadczenia klucza usuń je przy użyciu:
POST ~/applications/{id}/removeKey
Koryguj wszystkie jednostki usługi skojarzone z aplikacją. Wykonaj ten krok, jeśli dzierżawa hostuje/rejestruje aplikację wielodostępną i/lub rejestruje wiele jednostek usługi skojarzonych z aplikacją. Wykonaj podobne kroki do wymienionych wcześniej:
GET ~/servicePrincipals/{id}
Znajdź hasłoCredentials i keyCredentials w odpowiedzi, rejestruj wszystkie stare identyfikatory keyId
Usuń wszystkie stare hasła i poświadczenia klucza. Użyj:
POST ~/servicePrincipals/{id}/removePassword and POST ~/servicePrincipals/{id}/removeKey for this, respectively.
Korygowanie zasobów jednostki usługi, których dotyczy problem
Koryguj wpisy tajne usługi KeyVault, do których jednostka usługi ma dostęp, obracając je w następującym priorytecie:
- Wpisy tajne udostępniane bezpośrednio za pomocą wywołań GetSecret .
- Pozostałe wpisy tajne w ujawnionych funkcjach KeyVaults.
- Pozostałe wpisy tajne w uwidocznionych subskrypcjach.
Aby uzyskać więcej informacji, zobacz Interaktywne usuwanie i przewracanie certyfikatów i wpisów tajnych jednostki usługi lub aplikacji.
Aby uzyskać wskazówki dotyczące aplikacji firmy Microsoft Entra SecOps, zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft dla aplikacji.
W kolejności priorytetu ten scenariusz będzie następujący:
- Aktualizacja poleceń cmdlet programu PowerShell programu Graph (Dodawanie/usuwanie klucza aplikacji i aplikacjiPassword) w celu uwzględnienia przykładów przerzucania poświadczeń.
- Dodaj niestandardowe polecenia cmdlet do programu Microsoft Graph PowerShell, które upraszczają ten scenariusz.
Wyłączanie lub usuwanie złośliwych aplikacji
Aplikację można wyłączyć lub usunąć. Aby wyłączyć aplikację, w obszarze Włączone dla użytkowników do logowania przenieś przełącznik do pozycji Nie.
Aplikację można usunąć tymczasowo lub trwale w witrynie Azure Portal lub za pośrednictwem interfejsu API programu Microsoft Graph. Po usunięciu nietrwałym aplikacja może zostać odzyskana do 30 dni po usunięciu.
DELETE /applications/{id}
Aby trwale usunąć aplikację, użyj tego wywołania interfejsu API programu Microsoft Graph:
DELETE /directory/deletedItems/{id}
Jeśli wyłączysz lub usuniesz aplikację nietrwałą, skonfiguruj monitorowanie w dziennikach inspekcji firmy Microsoft Entra, aby dowiedzieć się, czy stan zmieni się z powrotem na włączony lub odzyskany.
Rejestrowanie dla włączonego:
- Usługa — katalog podstawowy
- Typ działania — aktualizowanie jednostki usługi
- Kategoria — zarządzanie aplikacjami
- Zainicjowane przez (aktor) — nazwa UPN aktora
- Cele — identyfikator aplikacji i nazwa wyświetlana
- Zmodyfikowane właściwości — Nazwa właściwości = włączone konto, nowa wartość = true
Rejestrowanie w celu odzyskania:
- Usługa — katalog podstawowy
- Typ działania — dodawanie jednostki usługi
- Kategoria — zarządzanie aplikacjami
- Zainicjowane przez (aktor) — nazwa UPN aktora
- Cele — identyfikator aplikacji i nazwa wyświetlana
- Zmodyfikowane właściwości — nazwa właściwości = włączone konto, nowa wartość = true
Uwaga
Firma Microsoft globalnie wyłącza aplikacje, które mogą naruszać warunki użytkowania usługi. W takich przypadkach te aplikacje są wyświetlane DisabledDueToViolationOfServicesAgreement
we disabledByMicrosoftStatus
właściwości powiązanej aplikacji i typach zasobów jednostki usługi w programie Microsoft Graph. Aby zapobiec ponownemu utworzeniu wystąpienia w organizacji w przyszłości, nie można usunąć tych obiektów.
Implementowanie usługi Identity Protection dla tożsamości obciążeń
Firma Microsoft wykrywa ryzyko związane z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia bezpieczeństwa w trybie offline.
Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection.
Te alerty są wyświetlane w portalu usługi Identity Protection i można je wyeksportować do narzędzi SIEM za pomocą ustawień diagnostycznych lub interfejsów API usługi Identity Protection.
Dostęp warunkowy dla ryzykownych tożsamości obciążeń
Dostęp warunkowy umożliwia blokowanie dostępu dla określonych kont, które są wyznaczane, gdy usługa Identity Protection oznacza je jako "zagrożone". Wymuszanie za pośrednictwem dostępu warunkowego jest obecnie ograniczone tylko do aplikacji z jedną dzierżawą.
Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla tożsamości obciążeń.
Implementowanie zasad ryzyka aplikacji
Przeglądanie ustawień zgody użytkownika
Przejrzyj ustawienia zgody użytkownika w obszarze Microsoft Entra ID>Dla aplikacji>dla przedsiębiorstw Zgoda i uprawnienia>Ustawienia zgody użytkownika.
Aby przejrzeć opcje konfiguracji, zobacz Konfigurowanie sposobu wyrażania zgody przez użytkowników na aplikacje.
Implementowanie przepływu zgody administratora
Gdy deweloper aplikacji kieruje użytkowników do punktu końcowego zgody administratora z zamiarem wyrażenia zgody dla całej dzierżawy, jest znany jako przepływ zgody administratora. Aby upewnić się, że przepływ zgody administratora działa prawidłowo, deweloperzy aplikacji muszą wyświetlić listę wszystkich uprawnień we właściwości RequiredResourceAccess w manifeście aplikacji.
Większość organizacji wyłącza możliwość wyrażania zgody na aplikacje przez użytkowników. Aby umożliwić użytkownikom nadal żądanie zgody dla aplikacji i mieć możliwość przeglądu administracyjnego, zaleca się zaimplementowanie przepływu pracy zgody administratora. Wykonaj kroki przepływu pracy zgody administratora, aby skonfigurować go w dzierżawie.
W przypadku operacji z wysokimi uprawnieniami, takich jak zgoda administratora, masz strategię uprzywilejowanego dostępu zdefiniowaną w naszych wskazówkach.
Przeglądanie ustawień zgody na podstawie ryzyka
Zgoda na krok po kroku oparta na ryzyku pomaga zmniejszyć narażenie użytkowników na złośliwe aplikacje. Na przykład żądania zgody dla nowo zarejestrowanych aplikacji wielodostępnych, które nie są zweryfikowane przez wydawcę i wymagają nieudostępnych uprawnień, są uznawane za ryzykowne. Jeśli zostanie wykryte ryzykowne żądanie zgody użytkownika, zamiast tego żądanie wymaga "kroku" zgody administratora. Ta funkcja kroku jest domyślnie włączona, ale powoduje zmianę zachowania tylko wtedy, gdy jest włączona zgoda użytkownika.
Upewnij się, że jest ona włączona w dzierżawie i przejrzyj ustawienia konfiguracji opisane tutaj.
Informacje
- Podręczniki reagowania na zdarzenia
- Udzielanie zgody aplikacji
- Ochrona tożsamości Microsoft Entra ryzyka
- Przewodnik monitorowania zabezpieczeń firmy Microsoft Entra
- Pojęcia dotyczące inspekcji aplikacji
- Konfigurowanie sposobu, w jaki użytkownicy wyrażają zgodę na aplikacje
- Konfigurowanie przepływu pracy zgody administratora
- Nietypowe dodawanie poświadczeń do aplikacji OAuth
- Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection
- Holistyczne sygnały tożsamości z naruszonymi zabezpieczeniami firmy Microsoft
Dodatkowe podręczniki reagowania na zdarzenia
Zapoznaj się ze wskazówkami dotyczącymi identyfikowania i badania następujących dodatkowych typów ataków:
Zasoby reagowania na zdarzenia
- Omówienie produktów i zasobów zabezpieczeń firmy Microsoft dla nowych i doświadczonych analityków
- Planowanie usługi Security Operations Center (SOC)
- Reagowanie na zdarzenia XDR w usłudze Microsoft Defender
- Microsoft Defender dla Chmury (Azure)
- Reagowanie na zdarzenia w usłudze Microsoft Sentinel
- Przewodnik zespołu reagowania na zdarzenia firmy Microsoft udostępnia najlepsze rozwiązania dla zespołów ds. zabezpieczeń i liderów
- Przewodniki reagowania na zdarzenia firmy Microsoft ułatwiają zespołom ds. zabezpieczeń analizowanie podejrzanych działań