Tutoriel : Examen et de correction des applications OAuth à risqueTutorial: Investigate and remediate risky OAuth apps

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

OAuth est une norme ouverte pour l’authentification et l’autorisation basées sur les jetons.OAuth is an open standard for token-based authentication and authorization. OAuth permet aux services tiers d’utiliser les informations de compte d’un utilisateur, sans exposer le mot de passe de l’utilisateur.OAuth enables a user's account information to be used by third-party services, without exposing the user's password. OAuth agit en tant qu’intermédiaire pour le compte de l’utilisateur, fournissant au service un jeton d’accès qui autorise le partage d’informations de compte spécifiques.OAuth acts as an intermediary on behalf of the user, providing the service with an access token that authorizes specific account information to be shared.

Par exemple, une application qui analyse le calendrier de l’utilisateur et donne des conseils sur la façon de devenir plus productif a besoin d’accéder au calendrier de l’utilisateur.For example, an app that analyses the user's calendar and gives advice on how to become more productive, needs access to the user's calendar. Au lieu de fournir les informations d’identification de l’utilisateur, OAuth permet à l’application d’obtenir l’accès aux données avec uniquement un jeton, qui est généré lorsque l’utilisateur fournit son consentement sur une page, comme illustré dans l’image ci-dessous.Instead of providing the user's credentials, OAuth enables the app to get access to the data based only on a token, which is generated when the user provides consent to a page as can be seen in the below picture.

Autorisation d’application OAuth

De nombreuses applications tierces qui peuvent être installées par des utilisateurs professionnels dans votre organisation, demandent l’autorisation d’accéder aux informations et données d’utilisateur et se connectent au nom de l’utilisateur dans d’autres applications cloud.Many third-party apps that might be installed by business users in your organization, request permission to access user information and data and sign in on behalf of the user in other cloud apps. Quand les utilisateurs installent ces applications, ils cliquent souvent sur accepter sans examiner attentivement les détails dans l’invite, notamment l’octroi des autorisations à l’application.When users install these apps, they often click accept without closely reviewing the details in the prompt, including granting permissions to the app. Le fait d’accepter les autorisations d’applications tierces est un risque de sécurité potentiel pour votre organisation.Accepting third-party app permissions is a potential security risk to your organization.

Par exemple, la page de consentement d’application OAuth suivante peut paraître légitime à l’utilisateur moyen, toutefois, « l’Explorateur d’API Google » ne devrait pas avoir besoin de demander des autorisations à Google.For example, the following OAuth app consent page might look legitimate to the average user, however, "Google APIs Explorer" shouldn't need to request permissions from Google itself. Par conséquent, cela indique que l’application peut être une tentative de hameçonnage, non liée à Google.So this indicates that the app might be a phishing attempt, not related to Google at all.

OAuth phishing google

En tant qu’administrateur de sécurité, vous avez besoin d’une visibilité et de contrôle sur les applications dans votre environnement et cela inclut leurs autorisations.As a security admin, you need visibility and control over the apps in your environment and that includes the permissions they have. Vous devez être en mesure d’empêcher l’utilisation d’applications qui demandent l’autorisation à des ressources que vous voulez révoquer.You need the ability to prevent use of apps that require permission to resources you wish to revoke. Par conséquent, Microsoft Cloud App Security vous offre la possibilité d’analyser et de surveiller les autorisations données à l’application par vos utilisateurs.Therefore, Microsoft Cloud App Security provides you with the ability to investigate and monitor the app permissions your users granted. Cet article est destiné à vous aider à analyser les applications OAuth de votre organisation et à vous concentrer sur les applications qui sont plus susceptibles d’être suspectes.This article is dedicated to helping you investigate the OAuth apps in your organization, and focus on the apps that are more likely to be suspicious.

Notre approche recommandée consiste à examiner les applications en utilisant les capacités et les informations fournies dans le portail Cloud App Security pour filtrer les applications avec une faible probabilité de risque et se concentrer sur les applications suspectes.Our recommended approach is to investigate the apps by using the abilities and information provided in the Cloud App Security portal to filter out apps with a low chance of being risky, and focus on the suspicious apps.

Ce didacticiel vous montre comment effectuer les opérations suivantes :In this tutorial, you'll learn how to:

Comment détecter les applications OAuth à risqueHow to detect risky OAuth apps

La détection d’une application OAuth à risque peut se faire avec :Detecting a risky OAuth app can be accomplished using:

  • Alertes : Réagissez à une alerte déclenchée par une stratégie existante.Alerts: React to an alert triggered by an existing policy.
  • Recherche : Recherche d’une application à risque parmi toutes les applications disponibles, sans réelle suspicion de risque.Hunting: Search for a risky app among all the available apps, without concrete suspicion of a risk.

Détecter des applications à risque à l’aide des alertesDetect risky apps using alerts

Vous pouvez définir des stratégies pour vous envoyer automatiquement des notifications lorsqu’une application OAuth correspond à certains critères.You can set policies to automatically send you notifications when an OAuth app meets certain criteria. Par exemple, vous pouvez définir une stratégie pour vous avertir automatiquement lorsqu’une application, demandant des autorisations élevées et qui a été autorisée par plus de 50 utilisateurs, est détectée.For example, you can set a policy to automatically notify you when an app is detected that requires high permissions and was authorized by more than 50 users. Pour plus d’informations sur la création de stratégies OAuth, consultez Stratégies d’application OAuth.For more information on creating OAuth policies, see OAuth app policies.

Détecter des applications à risque à l’aide de la rechercheDetect risky apps by hunting

  1. Dans le portail, accédez à Examiner puis Applications OAuth.In the portal, go to Investigate and then OAuth apps. Utilisez les filtres et les requêtes pour passer en revue ce qui se passe dans votre environnement :Use the filters and queries to review what's happening in your environment:

    • Définissez le filtre sur Niveau d’autorisation de gravité élevée et Utilisation communautaire pas courante.Set the filter to Permission level high severity and Community use not common. Ce filtre vous aide à vous concentrer sur les applications à risque potentiel très élevé pour lesquelles les utilisateurs peuvent avoir sous-estimé le risque.Using this filter, you can focus on apps that are potentially very risky, where users may have underestimated the risk.

    • Sous Autorisations sélectionnez toutes les options qui sont particulièrement risquées dans un contexte spécifique.Under Permissions select all the options that are particularly risky in a specific context. Par exemple, vous pouvez sélectionner tous les filtres qui donnent l’autorisation d’accès aux e-mails, comme Accès complet à toutes les boîtes aux lettres puis passez en revue la liste des applications pour vous assurer qu’elles ont toutes besoin d’un accès relatif à la messagerie.For example, you can select all the filters that provide permission to email access, such as Full access to all mailboxes and then review the list of apps to make sure that they all really need mail-related access. Cela peut faciliter l’investigation dans un contexte spécifique et la recherche d’applications qui semblent légitimes, mais contiennent des autorisations inutiles.This can help you investigate within a specific context, and find apps that seem legitimate, but contain unnecessary permissions. Ces applications sont plus susceptibles de présenter des risques.These apps are more likely to be risky.

      OAuth phishing risky

    • Sélectionnez la requête enregistrée Applications autorisées par des utilisateurs externes.Select the saved query Apps authorized by external users. Ce filtre vous aide à identifier les applications qui peuvent ne pas être conformes aux normes de sécurité de votre entreprise.Using this filter, you can find apps that might not be aligned with your company's security standards.

  2. Après les avoir examinées, vous pouvez vous concentrer sur les applications dans les requêtes qui semblent légitimes, mais peuvent en réalité présenter des risques.After you review your apps, you can focus on the apps in the queries that seem legitimate but might actually be risky. Utilisez les filtres pour les rechercher :Use the filters to find them:

    • Filtres pour les applications qui sont Autorisées par un petit nombre d’utilisateurs.Filter for apps that are Authorized by a small number of users. Si vous vous concentrez sur ces applications, vous pouvez rechercher les applications à risque qui ont été autorisées par un utilisateur compromis.If you focus on these apps, you can look for risky apps that were authorized by a compromised user.
    • Applications qui ont des autorisations qui ne correspondent pas à l’objectif de l’application, par exemple, une application horloge avec accès complet à toutes les boîtes aux lettres.Apps that have permissions that don't match the app's purpose, for example, a clock app with full access to all mailboxes.
  3. Sélectionnez chaque application pour ouvrir le tiroir des applications et vérifier si l’application a un nom, un éditeur ou un site web suspect.Select each app to open the app drawer, and check to see if the app has a suspicious name, publisher, or website.

  4. Examinez la liste des applications et des applications cibles dont la date sous Dernier autorisé n’est pas récente.Look at the list of apps and target apps that have a date under Last authorized that isn't recent. Ces applications ne sont peut-être plus nécessaires.These apps may no longer be required.

    Tiroir d’application OAuth

Examen des applications OAuth suspectesHow to investigate suspicious OAuth apps

Après avoir déterminé qu’une application est suspecte et que vous souhaitez l’examiner, nous vous recommandons les principes clés suivants pour une investigation efficace :After you determine that an app is suspicious and you want to investigate it, we recommend the following key principles for efficient investigation:

  • Plus une application est courante et utilisée, par votre organisation ou en ligne, plus elle est probablement sécurisée.The more common and used an app is, either by your organization or online, the more likely it is to be safe.
  • Une application ne doit exiger que les autorisations qui sont liées à son objectif.An app should require only permissions that are related to the app's purpose. Si tel n’est pas le cas, l’application peut être risquée.If that's not the case, the app might be risky.
  • Les applications qui demandent des privilèges élevés ou le consentement de l’administrateur sont plus susceptibles de s’avérer dangereuses.Apps that require high privileges or admin consent are more likely to be risky.
  1. Sélectionnez l’application pour ouvrir le tiroir de l’application, puis le lien sous Activités associées.Select the app to open the app drawer and select the link under Related activities. Cela ouvre la page Journal d’activité filtrée pour les activités effectuées par l’application.This opens the Activity log page filtered for activities performed by the app. N’oubliez pas que certaines applications effectuent des activités qui sont enregistrées comme ayant été effectuées par un utilisateur.Keep in mind that some apps perform activities that are registered as having been performed by a user. Ces activités sont automatiquement filtrées en dehors des résultats dans le Journal d’activité.These activities are automatically filtered out of the results in the Activity log. Pour plus d’informations sur l’utilisation du journal d’activité, consultez Journal d’activité.For further investigation using the activity log, see Activity log.
  2. Dans le tiroir, sélectionnez Activités de consentement pour investiguer les consentements de l’utilisateur vis-à-vis de l’application dans le journal d’activité.In the drawer, select Consent activities to investigate user consents to the app in the activity log.
  3. Si une application semble suspecte, nous vous recommandons d’examiner son nom et son éditeur dans les différents App Stores.If an app seems suspicious, we recommended that you investigate the app's name and publisher in different app stores. Concentrez-vous sur les applications suivantes, qui peuvent être suspectes :Focus on following apps, which might be suspicions:
    • Applications avec un faible nombre de téléchargements.Apps with a low number of downloads.
    • Applications avec une évaluation faible, un faible score ou de mauvais commentaires.Apps with a low rating or score or bad comments.
    • Applications avec un éditeur ou un site web suspect.Apps with a suspicious publisher or website.
    • Applications avec une date de dernière mise à jour ancienne.Apps whose last update is not recent. Cela peut indiquer une application qui n’est plus prise en charge.This might indicate an app that is no longer supported.
    • Applications avec des autorisations inadaptées.Apps that have irrelevant permissions. Cela peut indiquer qu’une application est à risque.This might indicate that an app is risky.
  4. Si l’application est toujours suspecte, vous pouvez rechercher le nom de l’application, l’éditeur et l’URL en ligne.If the app is still suspicious, you can research the app name, publisher, and URL online.
  5. Vous pouvez exporter l’audit d’application OAuth pour approfondir l’analyse des utilisateurs qui ont autorisé une application.You can export the OAuth app audit for further analysis of the users who authorized an app. Pour plus d’informations, consultez Audit des applications OAuth.For more information, see OAuth app auditing.

Correction des applications OAuth suspectesHow to remediate suspicious OAuth apps

Après avoir déterminé qu’une application OAuth est risquée, Cloud App Security fournit les options de correction suivantes :After you determine that an OAuth app is risky, Cloud App Security provides the following remediation options:

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.