Tutorial: Menyelidiki dan memulihkan aplikasi OAuth berisiko

Catatan

• Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Catatan

Coba add-on tata kelola aplikasi baru ke Microsoft Defender for Cloud Apps untuk mendapatkan perlindungan yang lebih mendalam, wawasan penggunaan aplikasi, tata kelola, dan kemampuan remediasi untuk aplikasi yang langsung mengakses data pelanggan aplikasi M365. Untuk informasi selengkapnya, lihat Add-on tata kelola aplikasi ke Microsoft Defender for Cloud Apps (dalam pratinjau).

Pelajari tentang kelayakan pelanggan dan daftar untuk uji coba gratis di sini.

OAuth adalah standar terbuka untuk autentikasi dan otorisasi berbasis token. OAuth memungkinkan informasi akun pengguna digunakan oleh layanan pihak ketiga, tanpa mengekspos kata sandi pengguna. OAuth bertindak sebagai perantara atas nama pengguna, menyediakan layanan dengan token akses yang mengotorisasi informasi akun tertentu untuk dibagikan.

Misalnya, aplikasi yang menganalisis kalender pengguna dan memberikan saran tentang cara menjadi lebih produktif, membutuhkan akses ke kalender pengguna. Alih-alih memberikan kredensial pengguna, OAuth memungkinkan aplikasi untuk mendapatkan akses ke data hanya berdasarkan token, yang dihasilkan ketika pengguna memberikan persetujuan ke halaman seperti yang dapat dilihat pada gambar di bawah ini.

Banyak aplikasi pihak ketiga yang mungkin diinstal oleh pengguna bisnis di organisasi Anda, meminta izin untuk mengakses informasi dan data pengguna dan masuk atas nama pengguna di aplikasi cloud lainnya. Saat pengguna menginstal aplikasi ini, mereka sering mengeklik terima tanpa meninjau detail dalam perintah dengan cerma, termasuk memberikan izin ke aplikasi. Menerima izin aplikasi pihak ketiga adalah potensi risiko keamanan bagi organisasi Anda.

Misalnya, halaman persetujuan aplikasi OAuth berikut mungkin terlihat sah bagi pengguna rata-rata, namun, "Google API Explorer" seharusnya tidak perlu meminta izin dari Google itu sendiri. Jadi ini menunjukkan bahwa aplikasi mungkin merupakan upaya phishing, tidak terkait dengan Google sama sekali.

Sebagai admin keamanan, Anda memerlukan visibilitas dan kontrol atas aplikasi di lingkungan Anda dan yang mencakup izin yang mereka miliki. Anda memerlukan kemampuan untuk mencegah penggunaan aplikasi yang memerlukan izin ke sumber daya yang ingin Anda cabut. Oleh karena itu, Microsoft Defender for Cloud Apps memberi Anda kemampuan untuk menyelidiki dan memantau izin aplikasi yang diberikan pengguna Anda. Artikel ini didedikasikan untuk membantu Anda menyelidiki aplikasi OAuth di organisasi Anda, dan fokus pada aplikasi yang lebih mungkin mencurigakan.

Pendekatan yang kami rekomendasikan adalah menyelidiki aplikasi dengan menggunakan kemampuan dan informasi yang disediakan di portal Defender untuk Cloud Apps untuk memfilter aplikasi dengan peluang rendah berisiko, dan fokus pada aplikasi yang mencurigakan.

Dalam tutorial ini, Anda akan mempelajari cara:

• Mendeteksi aplikasi OAuth berisiko
• Menyelidiki aplikasi OAuth yang berisiko
• Memulihkan aplikasi OAuth berisiko

Cara mendeteksi aplikasi OAuth berisiko

Mendeteksi aplikasi OAuth berisiko dapat dicapai menggunakan:

• Pemberitahuan: React ke pemberitahuan yang dipicu oleh kebijakan yang ada.
• Berburu: Cari aplikasi berisiko di antara semua aplikasi yang tersedia, tanpa kecurigaan konkret terhadap risiko.

Mendeteksi aplikasi berisiko menggunakan pemberitahuan

Anda dapat mengatur kebijakan untuk mengirimi Anda pemberitahuan secara otomatis saat aplikasi OAuth memenuhi kriteria tertentu. Misalnya, Anda dapat mengatur kebijakan untuk memberi tahu Anda secara otomatis saat aplikasi terdeteksi memerlukan izin tinggi dan diotorisasi oleh lebih dari 50 pengguna. Untuk informasi selengkapnya tentang membuat kebijakan OAuth, lihat Kebijakan aplikasi OAuth.

Mendeteksi aplikasi berisiko dengan berburu

1. Di portal, buka Menyelidiki lalu aplikasi OAuth. Gunakan filter dan kueri untuk meninjau apa yang terjadi di lingkungan Anda:

   • Atur filter ke Tingkat izin tingkat keparahan tinggi dan Penggunaan komunitas tidak umum. Dengan menggunakan filter ini, Anda dapat fokus pada aplikasi yang berpotensi sangat berisiko, di mana pengguna mungkin telah meremehkan risiko.

   • Di bawah Izin pilih semua opsi yang sangat berisiko dalam konteks tertentu. Misalnya, Anda dapat memilih semua filter yang menyediakan izin untuk akses email, seperti Akses penuh ke semua kotak surat lalu meninjau daftar aplikasi untuk memastikan bahwa semuanya benar-benar memerlukan akses terkait email. Ini dapat membantu Anda menyelidiki dalam konteks tertentu, dan menemukan aplikasi yang tampak sah, tetapi berisi izin yang tidak perlu. Aplikasi ini lebih mungkin berisiko.

     

   • Pilih Aplikasi kueri yang disimpan yang diotorisasi oleh pengguna eksternal. Dengan menggunakan filter ini, Anda dapat menemukan aplikasi yang mungkin tidak selaras dengan standar keamanan perusahaan Anda.

2. Setelah meninjau aplikasi, Anda dapat fokus pada aplikasi dalam kueri yang tampak sah tetapi mungkin benar-benar berisiko. Gunakan filter untuk menemukannya:

   • Filter untuk aplikasi yang Diotorisasi oleh sejumlah kecil pengguna. Jika Anda fokus pada aplikasi ini, Anda dapat mencari aplikasi berisiko yang diotorisasi oleh pengguna yang disusupi.
   • Aplikasi yang memiliki izin yang tidak cocok dengan tujuan aplikasi, misalnya, aplikasi jam dengan akses penuh ke semua kotak surat.

3. Pilih setiap aplikasi untuk membuka laci aplikasi, dan periksa untuk melihat apakah aplikasi memiliki nama, penerbit, atau situs web yang mencurigakan.

4. Lihat daftar aplikasi dan aplikasi target yang memiliki tanggal di bawah Otorisasi terakhir yang tidak terbaru. Aplikasi ini mungkin tidak lagi diperlukan.

   

Cara menyelidiki aplikasi OAuth yang mencurigakan

Setelah Anda menentukan bahwa aplikasi mencurigakan dan Anda ingin menyelidikinya, kami merekomendasikan prinsip-prinsip utama berikut untuk penyelidikan yang efisien:

• Semakin umum dan menggunakan aplikasi, baik oleh organisasi Anda atau online, semakin besar kemungkinan aplikasi tersebut aman.
• Aplikasi seharusnya hanya memerlukan izin yang terkait dengan tujuan aplikasi. Jika tidak demikian, aplikasi mungkin berisiko.
• Aplikasi yang memerlukan hak istimewa tinggi atau persetujuan admin lebih mungkin berisiko.

1. Pilih aplikasi untuk membuka laci aplikasi dan pilih tautan di bawah Aktivitas terkait. Ini membuka halaman Log aktivitas yang difilter untuk aktivitas yang dilakukan oleh aplikasi. Perlu diingat bahwa beberapa aplikasi melakukan aktivitas yang terdaftar sebagai telah dilakukan oleh pengguna. Aktivitas ini secara otomatis difilter dari hasil di log Aktivitas. Untuk penyelidikan lebih lanjut menggunakan log aktivitas, lihat Log aktivitas.
2. Di laci, pilih Aktivitas persetujuan untuk menyelidiki persetujuan pengguna ke aplikasi di log aktivitas.
3. Jika aplikasi tampak mencurigakan, kami sarankan Anda menyelidiki nama dan penerbit aplikasi di penyimpanan aplikasi yang berbeda. Fokus pada aplikasi berikut, yang mungkin merupakan kecurigaan:
   • Aplikasi dengan jumlah unduhan yang rendah.
   • Aplikasi dengan peringkat atau skor rendah atau komentar buruk.
   • Aplikasi dengan penerbit atau situs web yang mencurigakan.
   • Aplikasi yang pembaruan terakhirnya tidak terbaru. Ini mungkin menunjukkan aplikasi yang tidak lagi didukung.
   • Aplikasi yang memiliki izin yang tidak relevan. Ini mungkin menunjukkan bahwa aplikasi berisiko.
4. Jika aplikasi masih mencurigakan, Anda dapat meneliti nama aplikasi, penerbit, dan URL secara online.
5. Anda dapat mengekspor audit aplikasi OAuth untuk analisis lebih lanjut tentang pengguna yang mengotorisasi aplikasi. Untuk informasi selengkapnya, lihat Audit aplikasi OAuth.

Cara memulihkan aplikasi OAuth yang mencurigakan

Setelah Anda menentukan bahwa aplikasi OAuth berisiko, Defender untuk Cloud Apps menyediakan opsi remediasi berikut:

• Remediasi manual: Anda dapat dengan mudah melarang mencabut aplikasi dari halaman aplikasi OAuth

• Remediasi otomatis: Anda dapat membuat kebijakan yang secara otomatis mencabut aplikasi atau mencabut pengguna tertentu dari aplikasi.

Langkah berikutnya

Aktivitas harian untuk melindungi lingkungan cloud Anda

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.