A támogatási engedély észlelése és szervizbe juttatása

Megjegyzés

Szeretne Microsoft 365 Defender tapasztalni? További információ a Microsoft 365 Defender kiértékeléséről és kipróbálásáról.

A következőre vonatkozik:

• Microsoft Defender az Office 365 1. és 2. csomaghoz
• Microsoft 365 Defender

Összegzés Ebből a cikkből megtudhatja, hogy miként ismeri fel és orvosolhatja a támadási hozzájárulást a Microsoft 365.

Mi az a hozzájárulási hozzájárulás, amely támadásra ad Microsoft 365?

A támadási hozzájárulási engedély megadása esetén a támadó létrehoz egy Azure-regisztrált alkalmazást, amely hozzáférést kér az adatokhoz, például kapcsolattartási adatokhoz, e-mail-címekhez vagy dokumentumokhoz. A támadó ezután rávesz egy végfelhasználót arra, hogy engedélyt adjon az alkalmazásnak arra, hogy adathalász támadásokon keresztül hozzáférjen az adataihoz, vagy egy megbízható webhelyre adja be az ön által megadott kódot. Miután az alkalmazás jóváhagyást kapott, fiókszintű hozzáféréssel rendelkezik az adatokhoz szervezeti fiók nélkül. A szokásos szervizelési lépések, például a megszegett fiókok jelszavának alaphelyzetbe állítása vagy a fiókok többtényezős hitelesítésének megkövetelése, nem hatékonyak az ilyen típusú támadásokkal szemben, mivel ezek külső alkalmazások, és külső felhasználók a szervezeten belül.

Ezek a támadások egy interakciós modellt használjanak, amely azt feltételezi, hogy az információt meg hívó entitás az automatizálás, és nem pedig ember.

Fontos

Azt gyanítja, hogy jelenleg problémákat tapasztal egy alkalmazás hozzájárulási engedélyével kapcsolatban? A Microsoft Defender a felhőalapú alkalmazásokhoz eszközöket biztosít az OAuth-appok észleléséhez, vizsgálathoz és szervizeléhez. Ez a Felhőalapú alkalmazásokhoz való Defenderről szól egy oktatóanyag, amely bemutatja, hogy miként vizsgálja a kockázatos OAuth-appokat. OAuth-app-házirendeket is állíthat be az appok által kért engedélyek vizsgálatot, hogy mely felhasználók engedélyezik ezeket az appokat, és széles körben jóváhagyhatja vagy letilthatja ezeket az engedélykéréseket.

Hogyan néz ki egy engedély a támadáshoz a Microsoft 365?

A naplóban kell keresnie ennek a támadásnak a jelzései, más néven A támadás jelölői (IOC) között. Sok Azure-regisztráló alkalmazással és nagy felhasználói bázissal bíró szervezetek esetén a legjobb megoldás, ha hetente áttekinti a szervezetek hozzájárulási engedélyét.

Steps for finding signs of this attack

1. Nyissa meg Microsoft 365 Defender portált, és https://security.microsoft.com válassza a Naplózás lehetőséget. Vagy, közvetlenül az Audit lapra ugráshoz, használja a https://security.microsoft.com/auditlogsearch.

2. A Naplózás lapon ellenőrizze, hogy a Keresés lap van-e kiválasztva, majd adja meg az alábbi beállításokat:

   • Dátum- és időtartomány
   • Tevékenységek: Ellenőrizze, hogy az Összes tevékenység eredményének megjelenítése jelölőnégyzet be van-e jelölve.

   Ha végzett, kattintson a Keresés gombra.

3. Kattintson a Tevékenység oszlopra az eredmények rendezéséhez, és keresse az Alkalmazáshoz való hozzájárulás oszlopot.

4. Jelöljön ki egy bejegyzést a listából a tevékenység részleteinek a megtekintése érdekében. Ellenőrizze, hogy az IsAdminContent beállítás Igaz-e.

Megjegyzés

Akár 30 perctől akár 24 óráig is eltarthat, hogy a megfelelő naplóbejegyzések egy esemény előfordulása után is megjelennek a találatok között.

A naplóban megőrzendő és kereshető időtartam az ön Microsoft 365-előfizetésétől, és konkrétan attól függ, hogy milyen licenctípus van hozzárendelve egy adott felhasználóhoz. További információ: Napló.

Ha ez az érték igaz, az azt jelenti, hogy a globális rendszergazdai hozzáféréssel rendelkező felhasználók széles körű hozzáférést kaptak az adatokhoz. Ha ez nem várt esemény, kövesse a lépéseket a támadás megerősítéséhez.

Támadás megerősítése

Ha a fent felsorolt IOC-k egy vagy több példánya van, további vizsgálatot kell folytatva pozitívan igazolnia, hogy a támadás történt. A következő három módszer bármelyikével megerősítheti a támadás megerősítését:

• Készletalkalmazások és az engedélyeiket a Azure Active Directory használatával. Ez a módszer alapos, de egyszerre csak egy felhasználót ellenőrizhet, ami nagyon időigényes lehet, ha sok felhasználót kell ellenőriznie.
• Készletalkalmazások és az engedélyeiket a PowerShell használatával. Ez a leggyorsabb és legát gondosabb módszer, amely a legkevesebb többletterhelést okoz.
• Meg kell kérnie a felhasználókat, hogy egyenként ellenőrizzék az alkalmazásokat és az engedélyeket, és jelentse az eredményeket a rendszergazdáknak, hogy orvosolják azt.

Készletalkalmazások hozzáféréssel a szervezetben

Ezt a felhasználók számára az Azure Active Directory Portálon vagy a PowerShellen keresztül, illetve meg is számoltathatja a felhasználókkal az alkalmazás-hozzáférésüket.

A portál használatának Azure Active Directory lépései

Az alkalmazásokat, amelyekhez bármely felhasználó engedélyt adott, a következő webhelyen Azure Active Directory kihttps://portal.azure.com.

1. Jelentkezzen be az Azure Portalra rendszergazdai jogokkal.
2. Válassza ki a Azure Active Directory.
3. Válassza a Felhasználók lehetőséget.
4. Jelölje ki az áttekintni kívánt felhasználót.
5. Válassza az Alkalmazások lehetőséget.

Ez megmutatja a felhasználóhoz rendelt alkalmazásokat, valamint az alkalmazásokhoz rendelt engedélyeket.

Steps for having your users enumerate their application access

A felhasználók itt is elérhetik https://myapps.microsoft.com a saját alkalmazás-hozzáférési jogosultságukat. Láthatják az összes appot hozzáféréssel, megtekinthetik a rájuk vonatkozó részleteket (beleértve a hozzáférés hatókörét), és megvonhatják a gyanús vagy gyanús vagy gyanús appok jogosultságait.

Ennek lépései a PowerShell-parancsokkal

A kiektív hozzájárulási engedély támadásának legegyszerűbb módja, ha futtatja az Get-AzureADPSPermissions.ps1-et , amely egy fájlba teszi az összes OAuth-hozzájárulási engedélyt és OAuth-appot a .csv-fájlba.

Előfeltételek

• A telepített Azure AD PowerShell-tár.
• Annak a bérlőnek a globális rendszergazdai jogai, amelyeken futtatni fogja a parancsfájlt.
• Helyi rendszergazda a számítógépen, amelyen a parancsfájlok futnak.

Fontos

Azt javasoljuk , hogy többtényezős hitelesítést igényel a felügyeleti fiókjában. Ez a parancsfájl támogatja az MFA-hitelesítést.

1. Jelentkezzen be arra a számítógépre, amelyről a parancsfájlt helyi rendszergazdai jogosultsággal fogja futtatni.

2. Töltse le vagy másolja a Get-AzureADPSPermissions.ps1egy GitHub egy mappába, amelyből futtatni fogja a parancsfájlt. Ez ugyanaz a mappa lesz, amelybe a kimenet "permissions.csv" fájlt fogja írni.

3. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, és nyissa meg azt a mappát, amelybe a parancsfájlt mentette.

4. Csatlakozás a címtárba a Csatlakozás-AzureAD parancsmag használatával.

5. Futtassa ezt a PowerShell-parancsot:

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

A parancsprogram létrehoz egy "Permissions.csv" nevű fájlt. Az alábbi lépéseket követve keresse meg a nem megfelelő alkalmazásengedélyeket:

1. A ConsentType oszlopban (G oszlop) keresse meg az "AllPrinciples" értéket. Az AllPrincipals engedély lehetővé teszi az ügyfélalkalmazásnak, hogy a 10.hu-HU-ban hozzáférjen mindenki tartalmához. A Microsoft 365 alkalmazásoknak erre az engedélyre van szükségük ahhoz, hogy megfelelően működjön. Minden ilyen engedéllyel rendelkező nem Microsoft-alkalmazást alaposan át kell vizsgálni.

2. Az Engedély oszlopban (F oszlop) ellenőrizze, hogy az egyes delegált alkalmazásoknak van-e jogosultsága a tartalomhoz. Keresse az "Olvasás" és az "Írási" engedélyt vagy az "*. Minden" engedélyre van szükség, és figyelmesen tekintse át ezeket, mert nem biztos, hogy megfelelőek.

3. Tekintse át az adott, hozzájárulással megadott felhasználókat. Ha a nagy profilú vagy nagy hatású felhasználók nem megfelelő hozzájárulásokat kaptak, további vizsgálatra van szükség.

4. A ClientDisplayName oszlopban (C oszlop) keresse meg a gyanúsnak tűnik alkalmazásokat. A hibásan írt, a túl hosszú vagy a hackereket hangolt neveket is alaposan át kell vizsgálni.

A támadás hatókörének meghatározása

Miután befejezte az alkalmazás-hozzáférés készletezését, tekintse át a naplót a szabálysértés teljes hatókörének meghatározásához. Keresse meg az érintett felhasználókat, az azt tartalmazó alkalmazás által a szervezethez hozzáférő időkereteket, valamint az apphoz szükséges engedélyeket. A naplóban a naplóban a Microsoft 365 Defender kereshet.

Fontos

A rendszergazdák és a felhasználók postaláda-naplózását és tevékenységvizsgálatát a támadás előtt engedélyezni kell ahhoz, hogy ez az információ elérhető legyen.

Hogyan állíthatja le és szervizbe állíthatja a támadási hozzájárulásokat, és hogyan szervizbe

Miután azonosított egy olyan alkalmazást, amely engedélyekkel rendelkezik, többféleképpen is eltávolíthatja azt.

• Az alkalmazás engedélyét a következő Azure Active Directory vonhatja vissza a Azure Active Directory portálon:

  1. Keresse meg az érintett felhasználót a Azure Active Directory panelen.
  2. Válassza az Alkalmazások lehetőséget.
  3. Válassza ki a válaszalkalmazást.
  4. A részletezésben kattintson az Eltávolítás gombra.

• A Remove-AzureADOAuth2PermissionGrant eljárás lépéseit követve visszavonhatja az OAuth-hozzájárulás PowerShell-engedély megadását.

• A Remove-AzureADServiceAppRoleAssignment eszközben található lépéseket követve visszavonhatja a Szolgáltatásappszerep-hozzárendelést a PowerShellel.

• Az érintett fiókba való bejelentkezést is letilthatja, ezzel pedig letiltja az app hozzáférését a fiók adataihoz. Ez nem ideális a végfelhasználók termelékenysége számára, de ha gyorsan korlátoznia kell a hatást, hosszú távon jó megoldás lehet erre.

• Az integrált alkalmazásokat a élettartamára kikapcsolhatja. Ez egy olyan drastic lépés, amely letiltja a végfelhasználóknak, hogy bérlői szintű alapon engedélyt adjanak. Ez megakadályozza, hogy a felhasználók véletlenül hozzáférést adjanak egy kártékony alkalmazáshoz. Ez nem ajánlott, mivel súlyosan akadályozza a felhasználókat abban, hogy hatékonyabban tudjanak használni harmadik féltől származó alkalmazásokat. Ezt az Integrált alkalmazások be- és kikapcsolása lépéseit követve tudja megtenni.

Biztonsági Microsoft 365, mint egy kiberbiztonsági szakértő

Az Microsoft 365-előfizetése számos hatékony biztonsági lehetőséget tartalmaz, amelyek segítségével megvédheti adatait és felhasználóit. Használja a Microsoft 365 biztonsági ütemtervet – Az első 30 nap, 90 nap és az azt túllépve fontos fontossági sorrendek a Microsoft által ajánlott eljárásokat alkalmazva biztonságossá teve a Microsoft 365 bérlői fiókját.

• Az első 30 nap során teljesítenünk kell a feladatokat. Ezek azonnali hatással vannak a felhasználókra, és nem érintik őket.
• 90 nap alatt el kell érnie feladatokat. A tervezés és a implementás kis időt fog venni, de jelentősen javítja a biztonsági tartást.
• 90 nap után. Ezek a fejlesztések az első 90 napos munka során épülnek.

Lásd még

• A nem várt alkalmazás az alkalmazások listájában végigvezeti a rendszergazdákat a különféle műveleteken, amelyekre szükség lehet, miután észreveték, hogy az adatokhoz hozzáférő váratlan alkalmazások vannak.
• Az alkalmazások integrálása Azure Active Directory a hozzájárulás és az engedélyek átfogó áttekintését.
• Az alkalmazás fejlesztése során problémák adnak hivatkozásokat a hozzájárulással kapcsolatos különféle cikkekre.
• Az azure ad Azure Active Directory (Azure AD) alkalmazás- és szolgáltatás-egyszerű objektumai áttekintést nyújtanak az alkalmazásmodell alapvető application és service principal objektumairól.
• Az alkalmazásokhoz való hozzáférés kezelése áttekintést nyújt arról, hogy a rendszergazdáknak hogyan kell kezelniük az appok felhasználói hozzáférését.