Tutorial: Investigación y corrección de aplicaciones de OAuth de riesgo

Nota

• Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

• Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Nota

Pruebe el nuevo complemento de gobernanza de aplicaciones para Microsoft Defender for Cloud Apps para obtener una protección más profunda, información de uso de aplicaciones, gobernanza y funcionalidades de corrección para las aplicaciones que acceden directamente a los datos del cliente de la aplicación M365. Para obtener más información, consulte Complemento de gobernanza de aplicaciones para Microsoft Defender for Cloud Apps (en versión preliminar).

Obtenga información sobre la idoneidad del cliente y suscríbase para disfrutar de una prueba gratuita aquí.

OAuth es un estándar abierto para la autenticación y autorización basadas en tokens. OAuth permite usar la información de la cuenta de un usuario por parte de servicios de terceros, sin exponer la contraseña del usuario. OAuth actúa como intermediario en nombre del usuario y proporciona al servicio un token de acceso que autoriza el uso compartido de información específica de la cuenta.

Por ejemplo, una aplicación que analiza el calendario del usuario y ofrece consejos sobre cómo mejorar la productividad necesita acceder al calendario del este. En lugar de proporcionar las credenciales del usuario, OAuth permite a la aplicación acceder a los datos basándose únicamente en un token, que se genera cuando el usuario da su consentimiento a una página, como se puede ver en la imagen a continuación.

Muchas aplicaciones de terceros que podrían instalar los usuarios empresariales de la organización, solicitar permiso para acceder a la información y los datos de usuario e iniciar sesión en nombre del usuario en otras aplicaciones en la nube. Cuando los usuarios instalan estas aplicaciones, suelen hacer clic en aceptar sin revisar atentamente los detalles en el símbolo del sistema, incluida la concesión de permisos a la aplicación. La aceptación de permisos de aplicación de terceros es un riesgo de seguridad potencial para la organización.

Por ejemplo, la siguiente página de consentimiento de aplicación de OAuth puede parecer legítima para el usuario medio; sin embargo, el "explorador de API de Google" no debería necesitar solicitar permisos a Google. Esto indica que la aplicación podría ser un intento de suplantación de identidad, no relacionado en absoluto con Google.

Como administrador de seguridad, necesita visibilidad y control sobre las aplicaciones de su entorno, lo que incluye los permisos que tienen. Necesita la capacidad de evitar el uso de aplicaciones que requieren permiso para los recursos que desea revocar. Por lo tanto, Microsoft Defender for Cloud Apps proporciona la capacidad de investigar y supervisar los permisos de la aplicación concedidos a los usuarios. Este artículo está dedicado a ayudarle a investigar las aplicaciones de OAuth de su organización y a centrarse en las aplicaciones que es más probable que sean sospechosas.

Nuestro enfoque recomendado es investigar las aplicaciones mediante las capacidades y la información proporcionadas en el portal de aplicaciones de Defender for Cloud para filtrar las aplicaciones con una probabilidad baja de riesgo y centrarse en las aplicaciones sospechosas.

En este tutorial, aprenderá a:

• Detectar aplicaciones de OAuth de riesgo
• Tutorial: Investigación de aplicaciones de OAuth de riesgo
• Corrección de aplicaciones de OAuth de riesgo

Cómo detectar las aplicaciones de OAuth de riesgo

La detección de una aplicación de OAuth de riesgo se puede lograr mediante:

• Alertas: Reaccionar a una alerta desencadenada por una directiva existente.
• Búsqueda: Buscar una aplicación de riesgo entre todas las aplicaciones disponibles, sin sospechas concretas de riesgo.

Detección de aplicaciones de riesgo mediante alertas

Puede establecer directivas para enviar automáticamente notificaciones cuando una aplicación de OAuth cumpla determinados criterios. Por ejemplo, puede establecer una directiva para que le notifique automáticamente cuando se detecte una aplicación que requiera permisos elevados y que se haya autorizado por más de 50 usuarios. Para obtener más información sobre la creación de directivas de OAuth, consulte Directivas de aplicación de OAuth.

Detección de aplicaciones de riesgo mediante la búsqueda

1. En el portal, vaya a Investigar y, a continuación, Aplicaciones de OAuth. Utilice los filtros y las consultas para revisar lo que sucede en su entorno:

   • Establezca el filtro en Nivel de permiso de alta gravedad y Uso comunitario no común. Con este filtro, puede centrarse en aplicaciones con un potencial de alto riesgo en las que los usuarios puedan haber subestimado el riesgo.

   • En Permisos seleccione todas las opciones que sean particularmente de riesgo en un contexto específico. Por ejemplo, puede seleccionar todos los filtros que permiten el acceso al correo electrónico, como Acceso total a todos los buzones de correo y luego revisar la lista de aplicaciones para asegurarse de que todas realmente necesitan acceso relacionado con el correo. Esto le puede ayudar a investigar dentro de un contexto específico y a buscar aplicaciones que parecen legítimas, pero que contienen permisos innecesarios. Estas aplicaciones tienen más probabilidades de ser de riesgo.

     

   • Seleccione la consulta guardada Aplicaciones que han autorizado los usuarios externos. Con este filtro puede encontrar aplicaciones que quizás no estén alineadas con los estándares de seguridad de su empresa.

2. Una vez que revise las aplicaciones, puede centrarse en las aplicaciones de las consultas que parecen ser legítimas, pero que podrían en realidad ser de riesgo. Use los filtros para buscarlas:

   • Filtro para aplicaciones que están autorizadas por un número reducido de usuarios. Si se centra en estas aplicaciones, puede buscar aplicaciones de riesgo autorizadas por un usuario en peligro.
   • Aplicaciones que tienen permisos que no coinciden con el propósito de la aplicación, por ejemplo, una aplicación de reloj con acceso completo a todos los buzones.

3. Seleccione cada aplicación para abrir el cajón de estas y compruebe si la aplicación tiene un nombre, editor o sitio web sospechoso.

4. Consulte la lista de aplicaciones y las aplicaciones de destino que tienen una fecha en Última autorización que no es reciente. Es posible que estas aplicaciones ya no sean necesarias.

   

Cómo investigar las aplicaciones de OAuth sospechosas

Después de determinar que una aplicación es sospechosa y desea investigarla, recomendamos los siguientes principios clave para una investigación eficaz:

• Cuanto más común y utilizada sea una aplicación, ya sea por su organización o en línea, más probable es que sea segura.
• Una aplicación debe requerir solo permisos que estén relacionados con el propósito de la aplicación. Si no es así, la aplicación puede ser de riesgo.
• Las aplicaciones que requieren privilegios elevados o consentimiento del administrador tienen más probabilidades de ser de riesgo.

1. Seleccione la aplicación para abrir el cajón de estas y, luego, el vínculo situado en Actividades relacionadas. Se abrirá la página del registro de actividad filtrada para las actividades realizadas por la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades que se registran como realizadas por un usuario. Estas actividades se quedan fuera automáticamente de los resultados del registro de actividad una vez aplicado el filtro. Para investigar más sobre el uso del registro de actividad, consulte Registro de actividad.
2. En el cajón, seleccione Consentir actividades para investigar los consentimientos que el usuario ha otorgado a la aplicación en el registro de actividad.
3. Si una aplicación le resulta sospechosa, le recomendamos que investigue el nombre y el editor de la aplicación en distintas tiendas de aplicaciones. Céntrese en las siguientes aplicaciones, que podrían ser sospechosas:
   • Aplicaciones con un número reducido de descargas.
   • Aplicaciones con una clasificación o puntuación baja o con comentarios negativos.
   • Aplicaciones con un editor o sitio web sospechoso.
   • Aplicaciones con una fecha de última actualización no reciente. Esto podría ser signo de una aplicación que ya no se admite.
   • Aplicaciones que tienen permisos no pertinentes. Esto podría indicar que una aplicación es de riesgo.
4. Si la aplicación sigue siendo sospechosa, puede investigar el nombre de la aplicación, el editor y la dirección URL en línea.
5. Puede exportar la auditoría de aplicaciones de OAuth para un análisis más detallado de los usuarios que hayan autorizado una aplicación. Para obtener más información, vea Auditoría de aplicaciones de OAuth.

Cómo corregir las aplicaciones de OAuth sospechosas

Después de determinar que una aplicación de OAuth es arriesgada, Defender for Cloud Apps proporciona las siguientes opciones de corrección:

• Corrección manual: Puede fácilmente prohibir la revocación de una aplicación desde la página de aplicaciones de OAuth.

• Corrección automática: Puede crear una directiva que revoque automáticamente una aplicación o revoque a un usuario específico de una aplicación.

Pasos siguientes

Actividades diarias para proteger el entorno de nube

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.