Tilskuddet til registrering og afhjælpning af ulovligt samtykke

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Resumé Få mere at vide om, hvordan du genkender og afhjælper det ulovlige samtykke giver angreb i Microsoft 365.

Hvad er det ulovlige samtykketildelingsangreb i Microsoft 365?

I et ulovligt samtykketildelingsangreb opretter hackeren et Azure-registreret program, der anmoder om adgang til data, f.eks. kontaktoplysninger, mail eller dokumenter. Hackeren narrer derefter en slutbruger til at give dette programsamtykke til at få adgang til deres data enten via et phishingangreb eller ved at indsætte ulovlig kode på et websted, der er tillid til. Når den ulovlige applikation er givet samtykke, har den adgang på kontoniveau til data, uden at der er behov for en organisationskonto. Normale afhjælpningstrin (f.eks. nulstilling af adgangskoder eller krav om multifaktorgodkendelse) er ikke effektive mod denne type angreb, fordi disse apps er eksterne i forhold til organisationen.

Disse angreb bruger en interaktionsmodel, der forudsætter, at den enhed, der kalder oplysningerne, er automatisering og ikke et menneske.

Vigtigt!

Har du mistanke om, at du oplever problemer med ulovlig samtykke-tilskud fra en app, lige nu? Microsoft Defender for Cloud Apps har værktøjer til at registrere, undersøge og afhjælpe dine OAuth-apps. Denne artikel om Defender for Cloud Apps indeholder et selvstudium, der beskriver, hvordan du kan undersøge risikable OAuth-apps. Du kan også angive OAuth-apppolitikker for at undersøge tilladelser, der anmodes om af appen, hvilke brugere der godkender disse apps, og i vid udstrækning godkende eller forbyde disse tilladelsesanmodninger.

Hvordan ser et ulovligt samtykkeangreb ud i Microsoft 365?

Du skal søge i overvågningsloggen for at finde tegn, også kaldet Indikatorer for kompromis (IOC) for dette angreb. For organisationer med mange Azure-registrerede programmer og en stor brugerbase er bedste praksis at gennemse dine organisationers samtykketilskud ugentligt.

Trin til at finde tegn på dette angreb

1. Åbn Microsoft Defender-portalen på , https://security.microsoft.com og vælg derefter Overvågning. Du kan også gå direkte til siden Overvågning ved at bruge https://security.microsoft.com/auditlogsearch.

2. På siden Overvågning skal du kontrollere, at fanen Søg er valgt, og derefter konfigurere følgende indstillinger:

   • Dato- og tidsinterval
   • Aktiviteter: Kontrollér, at Vis resultater for alle aktiviteter er valgt.

   Når du er færdig, skal du vælge Søg.

3. Vælg kolonnen Aktivitet for at sortere resultaterne og søge efter Samtykke til program.

4. Vælg en post på listen for at få vist detaljer om aktiviteten. Kontrollér, om IsAdminConsent er angivet til Sand.

Bemærk!

Det kan tage fra 30 minutter og op til 24 timer, før den tilsvarende post i overvågningsloggen vises i søgeresultaterne, når der opstår en hændelse.

Hvor lang tid en overvågningspost opbevares og søges i i overvågningsloggen, afhænger af dit Microsoft 365-abonnement og specifikt den licenstype, der er tildelt en bestemt bruger. Du kan få flere oplysninger i Overvågningslog.

Værdien er true angiver, at en person med global administratoradgang kan have tildelt bred adgang til data. Hvis denne værdi er uventet, skal du udføre trin for at bekræfte et angreb.

Sådan bekræfter du et angreb

Hvis du har en eller flere forekomster af de IOCs, der tidligere er angivet, skal du foretage yderligere undersøgelser for at bekræfte, at angrebet fandt sted. Du kan bruge en af disse tre metoder til at bekræfte angrebet:

• Lagerprogrammer og deres tilladelser ved hjælp af Microsoft Entra-administrationscenter. Denne metode er grundig, men du kan kun kontrollere én bruger ad gangen, der kan være meget tidskrævende, hvis du har mange brugere at kontrollere.
• Lagerprogrammer og deres tilladelser ved hjælp af PowerShell. Dette er den hurtigste og mest grundige metode med den mindste mængde overhead.
• Få brugerne til at kontrollere deres apps og tilladelser individuelt, og rapportér resultaterne tilbage til administratorerne for at få afhjælpning.

Lagerapps med adgang i din organisation

Du har følgende muligheder for at oprette en oversigt over apps for dine brugere:

• Den Microsoft Entra-administrationscenter.
• Powershell.
• Få brugerne til at optælle deres egen programadgang individuelt.

Trin til brug af Microsoft Entra-administrationscenter

Du kan slå de programmer op, som en enkelt bruger har tildelt tilladelser, ved hjælp af Microsoft Entra-administrationscenter:

1. Åbn Microsoft Entra-administrationscenter på https://entra.microsoft.com, og gå derefter til Identitetsbrugere>> *Alle brugere. Du kan også gå direkte til Brugere>Alle brugere ved at bruge https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
2. Find og vælg den bruger, du vil gennemse, ved at klikke på værdien Vist navn .
3. Vælg Programmer på siden med brugeroplysninger, der åbnes.

I disse trin kan du se de apps, der er tildelt brugeren, og hvilke tilladelser programmerne har.

Trin til at få dine brugere til at optælle deres programadgang

Få dine brugere til at gå til https://myapps.microsoft.com og gennemse deres egen programadgang der. De bør kunne se alle apps med adgang, få vist oplysninger om dem (herunder omfanget af adgang) og kunne tilbagekalde rettigheder til mistænkelige eller ulovlige apps.

Trin i PowerShell

Den nemmeste måde at bekræfte det ulovlige samtykketildelingsangreb på er ved at køre Get-AzureADPSPermissions.ps1, som dumper alle OAuth-samtykketildelinger og OAuth-apps for alle brugere i din lejer i én .csv-fil.

Forudsætninger

• Det Azure AD PowerShell-bibliotek, der er installeret.
• Globale administratortilladelser i den organisation, hvor scriptet køres.
• Tilladelser som lokal administrator på den computer, hvor du kører scripts.

Vigtigt!

Vi anbefaler på det kraftigste , at du kræver multifaktorgodkendelse på din administratorkonto. Dette script understøtter MFA-godkendelse.

Bemærk!

Azure AD Powershell er planlagt til udfasning den 30. marts 2024. Du kan få mere at vide ved at læse udfasningsopdateringen.

Vi anbefaler, at du overfører til Microsoft Graph PowerShell for at interagere med Microsoft Entra ID (tidligere Azure AD). Microsoft Graph PowerShell giver adgang til alle Microsoft Graph-API'er og er tilgængelig på PowerShell 7. Du kan finde svar på almindelige migreringsforespørgsler under Ofte stillede spørgsmål om migrering.

1. Log på den computer, hvor du vil køre scripts med lokale administratorrettigheder.

2. Download eller kopiér Get-AzureADPSPermissions.ps1 scriptet fra GitHub til en mappe, der er nem at finde og huske. I denne mappe skal du også skrive outputfilen "permissions.csv".

3. Åbn en PowerShell-session med administratorrettigheder som administrator i den mappe, hvor du gemte scriptet.

4. Opret forbindelse til mappen ved hjælp af Connect-MgGraph-cmdlet'en .

5. Kør denne PowerShell-kommando:

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

Scriptet opretter én fil med navnet Permissions.csv. Følg disse trin for at søge efter ulovlige tilladelser til programmer:

1. I kolonnen ConsentType (kolonne G) skal du søge efter værdien "AllPrinciples". Tilladelsen AllPrincipals gør det muligt for klientprogrammet at få adgang til alles indhold i lejeren. Oprindelige Microsoft 365-programmer skal have denne tilladelse for at fungere korrekt. Alle ikke-Microsoft-programmer med denne tilladelse skal gennemses omhyggeligt.

2. Gennemse de tilladelser, som hvert delegeret program har til indhold, i kolonnen Permission (kolonne F). Søg efter tilladelsen "Læs" og "Skriv" eller "Alle", og gennemse disse tilladelser omhyggeligt, da de muligvis ikke er relevante.

3. Gennemse de specifikke brugere, der har givet samtykke. Hvis brugere med høj profil eller høj værdi har givet upassende samtykke, bør du undersøge det nærmere.

4. I kolonnen ClientDisplayName (kolonne C) skal du søge efter apps, der virker mistænkelige. Apps med stavefejl, super intetsigende navne eller hacker-klingende navne skal gennemgås omhyggeligt.

Fastlæg omfanget af angrebet

Når du er færdig med at registrere programadgang, skal du gennemse overvågningsloggen for at fastslå det fulde omfang af sikkerhedsbrud. Søg på de berørte brugere, de tidsrammer, som det ulovlige program havde adgang til din organisation, og de tilladelser, som appen havde. Du kan søge i overvågningsloggen på portalen Microsoft Defender.

Vigtigt!

Overvågning af postkasser og aktivitetsovervågning for administratorer og brugere skal være aktiveret før angrebet, for at du kan få disse oplysninger.

Sådan stopper og afhjælper du et ulovligt samtykke, når du giver angreb

Når du har identificeret programmet med ulovlige tilladelser, har du flere måder at fjerne denne adgang på:

• Du kan tilbagekalde programmets tilladelse i Microsoft Entra-administrationscenter ved at gøre følgende:

  1. Åbn Microsoft Entra-administrationscenter på https://entra.microsoft.com, og gå derefter til Identitetsbrugere>> *Alle brugere. Du kan også gå direkte til Brugere>Alle brugere ved at bruge https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Find og vælg den berørte bruger ved at klikke på værdien Vist navn .
  3. Vælg Programmer på siden med brugeroplysninger, der åbnes.
  4. På siden Programmer skal du vælge det ulovlige program ved at klikke på værdien Navn .
  5. På siden Tildelingsdetaljer , der åbnes, skal du vælge Fjern.

• Du kan tilbagekalde OAuth-samtykketildelingen med PowerShell ved at følge trinnene i Remove-MgOauth2PermissionGrant

• Du kan tilbagekalde rolletildelingen for tjenesteappen med PowerShell ved at følge trinnene i Remove-MgServicePrincipalAppRoleAssignment.

• Du kan deaktivere logon for den pågældende konto, hvilket deaktiverer appens adgang til data i kontoen. Denne handling er ikke ideel til brugerproduktivitet, men det kan være en kortsigtet afhjælpning for hurtigt at begrænse resultaterne af angrebet.

• Du kan slå integrerede programmer fra i din organisation. Denne handling er drastisk. Selvom det forhindrer brugere i ved et uheld at tildele adgang til en skadelig app, forhindrer det også alle brugere i at give samtykke til programmer. Vi anbefaler ikke denne handling, fordi det alvorligt hæmmer brugerproduktiviteten med tredjepartsprogrammer. Du kan slå integrerede apps fra ved at følge trinnene i Slå integrerede apps til eller fra.

Se også

• Programmer, der er angivet i virksomhedsprogrammer , fører administratorer gennem forskellige handlinger, de måske vil udføre, når de har indset, at der er uventede programmer med adgang til data.
• Hurtig start: Registrer et program med Microsoft-identitetsplatform er en overordnet oversigt over samtykke og tilladelser.
• Konfigurer politikker for tokenlevetid indeholder links til forskellige artikler relateret til samtykke.
• Objekter for program- og tjenesteprincipaler i Microsoft Entra ID giver en oversigt over objekterne Program- og tjenesteprincipal, der er kerneobjekter for programmodellen.
• Administrer adgang til et program er en oversigt over de funktioner, administratorer skal bruge til at administrere brugeradgang til apps.