Oktatóanyag: Kockázatos OAuth-alkalmazások vizsgálata és szervizelése

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

Megjegyzés

Próbálja ki az új alkalmazásszabályozási bővítményt a Microsoft Defender for Cloud Apps, hogy mélyebb védelmet, alkalmazáshasználati elemzéseket, cégirányítási és szervizelési képességeket kapjon az M365-alkalmazás ügyféladataihoz közvetlenül hozzáférő alkalmazások számára. További információ: Alkalmazásirányítási bővítmény Microsoft Defender for Cloud Apps (előzetes verzióban).

Itt megismerheti az ügyfelek jogosultságát , és regisztrálhat egy ingyenes próbaverzióra.

Az OAuth a jogkivonat-alapú hitelesítés és engedélyezés nyílt szabványa. Az OAuth lehetővé teszi, hogy a felhasználó fiókadatait külső szolgáltatások használják a felhasználó jelszavának felfedése nélkül. Az OAuth közvetítőként működik a felhasználó nevében, és olyan hozzáférési jogkivonatot biztosít a szolgáltatásnak, amely engedélyezi bizonyos fiókadatok megosztását.

Például egy alkalmazásnak, amely elemzi a felhasználó naptárát, és tanácsot ad a hatékonyabb munkavégzéshez, hozzá kell férnie a felhasználó naptárához. A felhasználó hitelesítő adatainak megadása helyett az OAuth lehetővé teszi, hogy az alkalmazás csak egy jogkivonat alapján férhessen hozzá az adatokhoz, amely akkor jön létre, amikor a felhasználó beleegyezést ad egy laphoz, ahogy az az alábbi képen látható.

Számos külső alkalmazás, amelyet a szervezet üzleti felhasználói telepíthetnek, engedélyt kérhetnek a felhasználói adatok és adatok elérésére, és a felhasználó nevében bejelentkezhetnek más felhőalkalmazásokban. Amikor a felhasználók telepítik ezeket az alkalmazásokat, gyakran az Elfogadás gombra kattintanak anélkül, hogy alaposan áttekintenék a kérdésben szereplő részleteket, beleértve az alkalmazás engedélyeinek megadását is. A külső alkalmazásengedélyek elfogadása potenciális biztonsági kockázatot jelent a szervezet számára.

A következő OAuth-alkalmazás-hozzájárulási oldal például jogszerűnek tűnhet az átlagos felhasználó számára, de a "Google API-k kezelőjének" nem kell engedélyt kérnie a Google-tól. Ez tehát azt jelzi, hogy az alkalmazás adathalász kísérlet lehet, és egyáltalán nem kapcsolódik a Google-hoz.

Biztonsági rendszergazdaként át kell tekintenie és szabályoznia kell a környezetében lévő alkalmazásokat, beleértve az engedélyeit is. Meg kell akadályoznia az olyan alkalmazások használatát, amelyek engedélyt igényelnek a visszavonni kívánt erőforrásokhoz. Ezért a Microsoft Defender for Cloud Apps lehetővé teszi a felhasználók által megadott alkalmazásengedélyek vizsgálatát és monitorozását. Ez a cikk segítséget nyújt a szervezet OAuth-alkalmazásainak kivizsgálásában, és a gyanúsabb alkalmazásokra összpontosít.

Javasoljuk, hogy vizsgálja meg az alkalmazásokat a Felhőhöz készült Defender Apps portálon elérhető képességekkel és információkkal, hogy kiszűrje az alacsony kockázatú alkalmazásokat, és a gyanús alkalmazásokra összpontosítson.

Ebből az oktatóanyagból az alábbiakat sajátíthatja el:

• Kockázatos OAuth-alkalmazások észlelése
• Kockázatos OAuth-alkalmazások vizsgálata
• Kockázatos OAuth-alkalmazások szervizelése

Kockázatos OAuth-alkalmazások észlelése

A kockázatos OAuth-alkalmazások észlelése az alábbiak használatával valósítható meg:

• Riasztások: React egy meglévő szabályzat által aktivált riasztásra.
• Vadászat: Kockázatos alkalmazás keresése az összes elérhető alkalmazás között, kockázat konkrét gyanúja nélkül.

Kockázatos alkalmazások észlelése riasztásokkal

Beállíthatja, hogy a szabályzatok automatikusan értesítéseket küldjenek, ha egy OAuth-alkalmazás megfelel bizonyos feltételeknek. Beállíthat például egy szabályzatot, amely automatikusan értesíti Önt, ha egy olyan alkalmazást észlel, amely magas szintű engedélyeket igényel, és több mint 50 felhasználó engedélyezte. További információ az OAuth-szabályzatok létrehozásáról: OAuth-alkalmazásszabályzatok.

Kockázatos alkalmazások észlelése veszélyforrás-kereséssel

1. A portálon lépjen a Vizsgálat , majd az OAuth-alkalmazások elemre. A szűrők és a lekérdezések használatával áttekintheti, hogy mi történik a környezetben:

   • Állítsa a szűrőt nagy súlyosságú engedélyszintre , és a közösségi használat nem gyakori. Ezzel a szűrővel a potenciálisan nagyon kockázatos alkalmazásokra összpontosíthat, ahol a felhasználók alábecsülhették a kockázatot.

   • Az Engedélyek területen válassza ki azokat a beállításokat, amelyek egy adott környezetben különösen kockázatosak. Kiválaszthatja például az összes olyan szűrőt, amely hozzáférést biztosít az e-mailekhez, például teljes hozzáférést az összes postaládához , majd áttekintheti az alkalmazások listáját, és meggyőződhet arról, hogy mindegyiknek valóban szüksége van levelezéshez kapcsolódó hozzáférésre. Ez segíthet egy adott környezetben megvizsgálni, és megkeresni azokat az alkalmazásokat, amelyek jogszerűnek tűnnek, de szükségtelen engedélyeket tartalmaznak. Ezek az alkalmazások nagyobb valószínűséggel kockázatosak.

     

   • Válassza ki a külső felhasználók által engedélyezett mentett lekérdezési alkalmazásokat. Ezzel a szűrővel olyan alkalmazásokat találhat, amelyek esetleg nem összhangban vannak a vállalat biztonsági szabványaival.

2. Az alkalmazások áttekintése után a megbízhatónak tűnő, de valójában kockázatos lekérdezésekben lévő alkalmazásokra összpontosíthat. A szűrőkkel keresse meg őket:

   • Kis számú felhasználó által engedélyezett alkalmazások szűrése. Ha ezekre az alkalmazásokra összpontosít, megkeresheti azokat a kockázatos alkalmazásokat, amelyeket egy feltört felhasználó engedélyezett.
   • Az alkalmazás céljának nem megfelelő engedélyekkel rendelkező alkalmazások, például egy óraalkalmazás, amely teljes hozzáféréssel rendelkezik az összes postaládához.

3. Jelölje ki az egyes alkalmazásokat az alkalmazásfiók megnyitásához, és ellenőrizze, hogy az alkalmazásnak van-e gyanús neve, közzétevője vagy webhelye.

4. Tekintse meg azoknak az alkalmazásoknak és célalkalmazásoknak a listáját, amelyeknek a legutóbbi engedélyezett dátuma nem friss. Előfordulhat, hogy ezekre az alkalmazásokra már nincs szükség.

   

Gyanús OAuth-alkalmazások vizsgálata

Miután megállapította, hogy egy alkalmazás gyanús, és ki szeretné vizsgálni, a hatékony vizsgálathoz az alábbi fő alapelveket javasoljuk:

• Minél gyakoribb és használt egy alkalmazás akár a szervezete, akár az interneten, annál valószínűbb, hogy biztonságos.
• Az alkalmazásoknak csak az alkalmazás céljához kapcsolódó engedélyekre van szükségük. Ha ez nem így van, az alkalmazás kockázatos lehet.
• A magas szintű jogosultságokat vagy rendszergazdai hozzájárulást igénylő alkalmazások nagyobb valószínűséggel kockázatosak.

1. Válassza ki az alkalmazást az alkalmazásfiók megnyitásához, és válassza a Kapcsolódó tevékenységek területen található hivatkozást. Ez megnyitja az alkalmazás által végrehajtott tevékenységekre szűrt Tevékenységnapló lapot. Ne feledje, hogy egyes alkalmazások olyan tevékenységeket végeznek, amelyeket egy felhasználó végzettként regisztrált. Ezek a tevékenységek automatikusan ki lesznek szűrve a tevékenységnapló eredményeiből. További vizsgálat a tevékenységnapló használatával: Tevékenységnapló.
2. A fiókban válassza a Hozzájárulási tevékenységeket az alkalmazáshoz adott felhasználói hozzájárulások vizsgálatához a tevékenységnaplóban.
3. Ha egy alkalmazás gyanúsnak tűnik, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és közzétevőjét különböző alkalmazás-áruházakban. Összpontosítson a következő alkalmazásokra, amelyek gyanút kelthetnek:
   • Kevés letöltéssel rendelkező alkalmazások.
   • Alacsony értékelést, pontszámot vagy rossz megjegyzéseket tartalmazó alkalmazások.
   • Gyanús közzétevővel vagy webhelypel rendelkező alkalmazások.
   • Azok az alkalmazások, amelyek legutóbbi frissítése nem friss. Ez olyan alkalmazást jelezhet, amely már nem támogatott.
   • Irreleváns engedélyekkel rendelkező alkalmazások. Ez azt jelezheti, hogy egy alkalmazás kockázatos.
4. Ha az alkalmazás továbbra is gyanús, online ellenőrizheti az alkalmazás nevét, közzétevője és URL-címét.
5. Az OAuth-alkalmazás auditálását exportálhatja az alkalmazást engedélyező felhasználók további elemzéséhez. További információ: OAuth-alkalmazások naplózása.

Gyanús OAuth-alkalmazások szervizelése

Miután megállapította, hogy egy OAuth-alkalmazás kockázatos, Felhőhöz készült Defender Apps a következő javítási lehetőségeket biztosítja:

• Manuális szervizelés: Egyszerűen letilthatja az alkalmazások visszavonását az OAuth-alkalmazások oldaláról

• Automatikus szervizelés: Létrehozhat olyan szabályzatot, amely automatikusan visszavon egy alkalmazást, vagy visszavon egy adott felhasználót egy alkalmazásból.

Következő lépések

A felhőkörnyezet védelmét célzó mindennapi tevékenységek

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.