調查並補救具風險的 OAuth 應用程式

OAuth 是令牌型驗證和授權的開放式標準。 OAuth 可讓第三方服務使用使用者的帳戶資訊，而不會公開用戶的密碼。 OAuth 會代表使用者做為媒介，為服務提供存取令牌，以授權要共用的特定帳戶資訊。

例如，分析使用者行事歷並提供如何提高生產力建議的應用程式需要存取使用者的行事曆。 OAuth 可讓應用程式只根據令牌來存取數據，而不是提供使用者的認證，而令牌會在使用者同意頁面時產生，如下圖所示。

貴組織中的商務使用者可能安裝的許多第三方應用程式，要求存取使用者資訊和數據的許可權，並代表其他雲端應用程式中的使用者登入。 當使用者安裝這些應用程式時，他們通常會按兩下 [接受 ]，而不仔細檢閱提示中的詳細數據，包括將許可權授與應用程式。 接受第三方應用程式許可權對您的組織是潛在的安全性風險。

例如，下列 OAuth 應用程式同意頁面對一般使用者而言可能是合法的，不過，「Google API 總管」應該不需要向 Google 本身要求許可權。 因此，這表示應用程式可能是網路釣魚嘗試，完全與Google無關。

身為安全性系統管理員，您需要能夠檢視和控制環境中的應用程式，且其中包含其擁有的許可權。 您需要能夠防止使用需要您要撤銷之資源許可權的應用程式。 因此，Microsoft Defender for Cloud Apps 可讓您調查及監視使用者授與的應用程式許可權。 本文專門協助您調查組織中的 OAuth 應用程式，並著重於較可能可疑的應用程式。

我們建議的方法是使用 Defender for Cloud Apps 入口網站中所提供的能力和資訊來調查應用程式，以篩選掉風險較低的應用程式，並專注於可疑的應用程式。

在本教學課程中，您將瞭解如何：

• 偵測有風險的 OAuth 應用程式
• 調查有風險的 OAuth 應用程式
• 修復具風險的 OAuth 應用程式

注意事項

本文使用 OAuth 應用程式 頁面中的範例和螢幕快照，當您未開啟應用程式控管時會使用此頁面。

如果您使用 預覽功能 並已開啟應用程式控管，則會改為從 [應用程式控 管] 頁面取得相同的功能。

如需詳細資訊，請參閱 Microsoft Defender for Cloud Apps 中的應用程式控管。

如何偵測有風險的 OAuth 應用程式

您可以使用下列方式來偵測具風險的 OAuth 應用程式：

• 警示：React 現有原則所觸發的警示。
• 搜捕：在所有可用的應用程式中搜尋有風險的應用程式，而不會具體懷疑有風險。

使用警示偵測有風險的應用程式

您可以設定原則，在 OAuth 應用程式符合特定準則時自動傳送通知給您。 例如，您可以設定原則，在偵測到需要高許可權且由超過50位使用者授權的應用程式時自動通知您。 如需建立 OAuth 原則的詳細資訊，請參閱 OAuth 應用程式原則。

透過搜捕來偵測有風險的應用程式

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [OAuth 應用程式]。 使用篩選和查詢來檢閱環境中發生的情況：

   • 將篩選條件設定為 [許可權層級高嚴重性 ] 和 [ 社群使用不常見]。 使用此篩選，您可以將焦點放在可能非常有風險的應用程式，其中使用者可能已略過風險。

   • 在 [ 許可權] 下 ，選取在特定內容中具有特別風險的所有選項。 例如，您可以選取所有提供電子郵件存取權的篩選，例如 所有信箱的完整存取權 ，然後檢閱應用程式清單，以確定它們真的需要郵件相關存取權。 這可協助您在特定內容中進行調查，並尋找看似合法但包含不必要許可權的應用程式。 這些應用程式比較有風險。

     

   • 選取 外部使用者授權的已儲存查詢 [應用程式]。 使用此篩選，您可以找到可能不符合公司安全性標準的應用程式。

2. 檢閱您的應用程式之後，您可以將焦點放在查詢中看似合法但實際上可能具風險的應用程式。 使用篩選來尋找它們：

   • 篩選由 少數使用者授權的應用程式。 如果您專注於這些應用程式，您可以尋找已遭入侵使用者授權的風險性應用程式。
   • 具有不符合應用程式用途之許可權的應用程式，例如具有所有信箱完整存取權的時鐘應用程式。

3. 選取每個應用程式以開啟應用程式隱藏式選單，並檢查應用程式是否有可疑的名稱、發行者或網站。

4. 查看在 [ 上次授權 ] 底下沒有最近授權的日期的應用程式和目標應用程式清單。 可能不再需要這些應用程式。

   

如何調查可疑的 OAuth 應用程式

在您判斷應用程式可疑且想要進行調查之後，建議您使用下列重要原則來進行有效率的調查：

• 應用程式越常見且使用於您的組織或在線，就越有可能是安全的。
• 應用程式應該只需要與應用程式用途相關的許可權。 如果不是這樣，應用程式可能會有風險。
• 需要高許可權或系統管理員同意的應用程式比較有風險。

1. 選取應用程式以開啟應用程式隱藏式選單，然後選取 [ 相關活動] 底下的連結。 這會開啟針對應用程式所執行的活動篩選的活動記錄頁面。 請記住，某些應用程式會執行註冊為用戶已執行的活動。 這些活動會自動篩選出活動記錄中的結果。 如需使用活動記錄的進一步調查，請參閱 活動記錄。
2. 在隱藏式選單中，選取 [ 同意活動 ] 以調查活動記錄中應用程式的使用者同意。
3. 如果應用程式看似可疑，建議您調查不同應用程式商店中的應用程式名稱和發行者。 專注於下列可能令人懷疑的應用程式：
   • 下載次數較少的應用程式。
   • 評等低、分數或不正確批注的應用程式。
   • 具有可疑發行者或網站的應用程式。
   • 上次更新不是最近的應用程式。 這可能表示不再支持的應用程式。
   • 具有不相關許可權的應用程式。 這可能表示應用程式有風險。
4. 如果應用程式仍然可疑，您可以在線研究應用程式名稱、發行者和URL。
5. 您可以匯出 OAuth 應用程式稽核，以進一步分析授權應用程式的使用者。 如需詳細資訊，請參閱 OAuth 應用程式稽核。

如何補救可疑的 OAuth 應用程式

判斷 OAuth 應用程式有風險之後，Defender for Cloud Apps 提供下列補救選項：

• 手動補救：您可以輕鬆 地禁止從 OAuth 應用程式頁面撤銷應用程式

• 自動補救：您可以建立 會自動撤銷應用程式的原則，或從應用程式撤銷特定使用者。

後續步驟

保護組織的最佳做法

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。