Illegale toestemmingsgelden detecteren en herstellenDetect and Remediate Illicit Consent Grants

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing opApplies to

Overzicht Meer informatie over het herkennen en herstellen van de illegale toestemmingsinfarcten in Office 365.Summary Learn how to recognize and remediate the illicit consent grants attack in Office 365.

Bij een illegale toestemmingsaanvraag maakt de aanvaller een azure-geregistreerde toepassing waarin toegang wordt gevraagd tot gegevens, zoals contactgegevens, e-mail of documenten.In an illicit consent grant attack, the attacker creates an Azure-registered application that requests access to data such as contact information, email, or documents. De aanvaller trucs vervolgens een eindgebruiker om die toepassing toestemming te geven om toegang te krijgen tot hun gegevens via een phishing-aanval of door illegale code in te voeren op een vertrouwde website.The attacker then tricks an end user into granting that application consent to access their data either through a phishing attack, or by injecting illicit code into a trusted website. Nadat toestemming is verleend voor de illegale toepassing, heeft deze toegang op accountniveau tot gegevens zonder dat er een organisatieaccount nodig is.After the illicit application has been granted consent, it has account-level access to data without the need for an organizational account. Normale herstelstappen, zoals het opnieuw instellen van wachtwoorden voor inbreukmakende accounts of het vereisen van MFA (Multi-Factor Authentication) op accounts, zijn niet effectief tegen dit type aanval, omdat dit toepassingen van derden zijn en buiten de organisatie vallen.Normal remediation steps, like resetting passwords for breached accounts or requiring Multi-Factor Authentication (MFA) on accounts, are not effective against this type of attack, since these are third-party applications and are external to the organization.

Deze aanvallen maken gebruik van een interactiemodel dat ervan uit gaat dat de entiteit die de informatie aanroept, automatisering is en geen mens.These attacks leverage an interaction model which presumes the entity that is calling the information is automation and not a human.

Belangrijk

Vermoedt u dat u op dit moment problemen ondervindt met illegale toestemmingsgelden vanuit een app?Do you suspect you're experiencing problems with illicit consent-grants from an app, right now? Microsoft Cloud App Security (MCAS) beschikt over hulpprogramma's voor het detecteren, onderzoeken en corrigeren van uw OAuth-apps.Microsoft Cloud App Security (MCAS) has tools to detect, investigate, and remediate your OAuth apps. Dit MCAS-artikel bevat een zelfstudie over het onderzoeken van riskante OAuth-apps.This MCAS article has a tutorial that outlines how to go about investigating risky OAuth apps. U kunt ook OAuth-appbeleid instellen om te onderzoeken welke machtigingen voor apps zijn aangevraagd, welke gebruikers deze apps mogen gebruiken en deze machtigingsaanvragen op grote schaal goed te keuren of te verbieden.You can also set OAuth app policies to investigate app-requested permissions, which users are authorizing these apps, and widely approve or ban these permissions requests.

U moet in het auditlogboek zoeken naar tekens, ook wel Indicatoren van compromis (IOC) van deze aanval genoemd.You need to search the audit log to find signs, also called Indicators of Compromise (IOC) of this attack. Voor organisaties met veel azure-geregistreerde toepassingen en een grote gebruikersbasis is het de beste manier om uw toestemmingsaanvragen voor organisaties wekelijks te bekijken.For organizations with many Azure-registered applications and a large user base, the best practice is to review your organizations consent grants on a weekly basis.

Stappen voor het vinden van tekenen van deze aanvalSteps for finding signs of this attack

  1. Open het beveiligingscentrum & compliancecentrum op https://protection.office.com .Open the Security & Compliance Center at https://protection.office.com.

  2. Navigeer naar Zoeken en selecteer Auditlogboek zoeken.Navigate to Search and select Audit log search.

  3. Zoek (alle activiteiten en alle gebruikers) en voer indien nodig de begin- en einddatum in en klik op Zoeken.Search (all activities and all users) and enter the start date and end date if required and then click Search.

  4. Klik op Resultaten filteren en voer Toestemming voor toepassing in het veld Activiteit in.Click Filter results and enter Consent to application in the Activity field.

  5. Klik op het resultaat om de details van de activiteit te bekijken.Click on the result to see the details of the activity. Klik op Meer informatie voor meer informatie over de activiteit.Click More Information to get details of the activity. Controleer of IsAdminContent is ingesteld op Waar.Check to see if IsAdminContent is set to True.

Notitie

Het kan 30 minuten tot 24 uur duren voordat de bijbehorende controlelogboekinvoer wordt weergegeven in de zoekresultaten nadat er een gebeurtenis plaatsvindt.It can take from 30 minutes up to 24 hours for the corresponding audit log entry to be displayed in the search results after an event occurs.

De duur van een auditrecord die in het auditlogboek wordt bewaard en doorzoekbaar is, is afhankelijk van uw Microsoft 365-abonnement, en met name van het type licentie dat aan een specifieke gebruiker is toegewezen.The length of time that an audit record is retained and searchable in the audit log depends on your Microsoft 365 subscription, and specifically the type of the license that is assigned to a specific user. Zie Auditlogboekvoor meer informatie.For more information, see Audit log.

Als deze waarde waar is, geeft deze aan dat iemand met globale beheerderstoegang mogelijk uitgebreide toegang tot gegevens heeft verleend.If this value is true, it indicates that someone with Global Administrator access may have granted broad access to data. Als dit onverwacht is, moet u stappen ondernemen om een aanval te bevestigen.If this is unexpected, take steps to confirm an attack.

Een aanval bevestigenHow to confirm an attack

Als u een of meer exemplaren van de IOC's hierboven hebt vermeld, moet u verder onderzoek doen om positief te bevestigen dat de aanval heeft plaatsgevonden.If you have one or more instances of the IOCs listed above, you need to do further investigation to positively confirm that the attack occurred. U kunt een van deze drie methoden gebruiken om de aanval te bevestigen:You can use any of these three methods to confirm the attack:

  • Voorraadtoepassingen en hun machtigingen met de Azure Active Directory portal.Inventory applications and their permissions using the Azure Active Directory portal. Deze methode is grondig, maar u kunt slechts één gebruiker tegelijk controleren, wat erg tijdrovend kan zijn als u veel gebruikers hebt om te controleren.This method is thorough, but you can only check one user at a time which can be very time consuming if you have many users to check.

  • Inventaristoepassingen en hun machtigingen met PowerShell.Inventory applications and their permissions using PowerShell. Dit is de snelste en meest grondige methode, met de minste hoeveelheid overhead.This is the fastest and most thorough method, with the least amount of overhead.

  • Laat uw gebruikers afzonderlijk hun apps en machtigingen controleren en de resultaten rapporteren aan de beheerders voor herstel.Have your users individually check their apps and permissions and report the results back to the administrators for remediation.

Inventaris-apps met toegang in uw organisatieInventory apps with access in your organization

U kunt dit doen voor uw gebruikers met de Azure Active Directory Portal of PowerShell of uw gebruikers afzonderlijk hun toepassingstoegang laten opsnoemen.You can do this for your users with either the Azure Active Directory Portal, or PowerShell or have your users individually enumerate their application access.

Stappen voor het gebruik van Azure Active Directory portalSteps for using the Azure Active Directory Portal

U kunt de toepassingen zoeken waaraan elke afzonderlijke gebruiker machtigingen heeft verleend met behulp van de Azure Active Directory Portal.You can look up the applications to which any individual user has granted permissions by using the Azure Active Directory Portal.

  1. Meld u aan bij de Azure-portal met beheerdersrechten.Sign in to the Azure portal with administrative rights.

  2. Selecteer het Azure Active Directory blad.Select the Azure Active Directory blade.

  3. Selecteer Gebruikers.Select Users.

  4. Selecteer de gebruiker die u wilt controleren.Select the user that you want to review.

  5. Selecteer Toepassingen.Select Applications.

Hier ziet u de apps die aan de gebruiker zijn toegewezen en welke machtigingen de toepassingen hebben.This will show you the apps that are assigned to the user and what permissions the applications have.

Stappen voor het opsnoemen van de toepassingstoegang van uw gebruikersSteps for having your users enumerate their application access

Laten uw gebruikers hun https://myapps.microsoft.com eigen toepassingstoegang daar bekijken.Have your users go to https://myapps.microsoft.com and review their own application access there. Ze moeten alle apps met toegang kunnen zien, details ervan kunnen bekijken (inclusief het bereik van toegang) en bevoegdheden kunnen intrekken voor verdachte of illegale apps.They should be able to see all the apps with access, view details about them (including the scope of access), and be able to revoke privileges to suspicious or illicit apps.

Stappen om dit te doen met PowerShellSteps for doing this with PowerShell

De eenvoudigste manier om de aanval van de illegale toestemmingsbeurs te verifiëren, is doorGet-AzureADPSPermissions.ps1uit te voeren, waardoor alle OAuth-toestemmingslening en OAuth-apps voor alle gebruikers in uw huurperiode in één .csv bestand worden opgeslagen.The simplest way to verify the Illicit Consent Grant attack is to run Get-AzureADPSPermissions.ps1, which will dump all the OAuth consent grants and OAuth apps for all users in your tenancy into one .csv file.

VereistenPre-requisites

  • De Azure AD PowerShell-bibliotheek is geïnstalleerd.The Azure AD PowerShell library installed.

  • Globale beheerdersrechten voor de tenant waar het script tegen wordt uitgevoerd.Global administrator rights on the tenant that the script will be run against.

  • Lokale beheerder op de computer waaruit de scripts worden uitgevoerd.Local Administrator on the computer from which will run the scripts.

Belangrijk

We raden u ten zeerste aan dat u meervoudige verificatie voor uw beheeraccount nodig hebt.We highly recommend that you require multi-factor authentication on your administrative account. Dit script ondersteunt MFA-verificatie.This script supports MFA authentication.

  1. Meld u aan bij de computer waaruit u het script wilt uitvoeren met lokale beheerdersrechten.Sign in to the computer that you will run the script from with local administrator rights.

  2. Download of kopieer het Get-AzureADPSPermissions.ps1 script van GitHub naar een map waaruit u het script gaat uitvoeren.Download or copy the Get-AzureADPSPermissions.ps1 script from GitHub to a folder from which you will run the script. Dit is dezelfde map waarop het uitvoerbestand 'permissions.csv' wordt geschreven.This will be the same folder to which the output "permissions.csv" file will be written.

  3. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.Open a PowerShell instance as an administrator and open to the folder you saved the script to.

  4. Verbinding maken naar uw adreslijst met de Verbinding maken-AzureAD-cmdlet.Connect to your directory using the Connect-AzureAD cmdlet.

  5. Voer deze PowerShell-opdracht uit:Run this PowerShell command:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Het script produceert één bestand met de naam Permissions.csv.The script produces one file named Permissions.csv. Volg deze stappen om te zoeken naar onrechtmatige machtigingen voor toepassingen:Follow these steps to look for illicit application permission grants:

  1. Zoek in de kolom ConsentType (kolom G) naar de waarde 'AllPrinciples'.In the ConsentType column (column G) search for the value "AllPrinciples". Met de machtiging AllPrincipals heeft de clienttoepassing toegang tot de inhoud van iedereen in de huurperiode.The AllPrincipals permission allows the client application to access everyone's content in the tenancy. Voor Microsoft 365 toepassingen is deze machtiging nodig om correct te kunnen werken.Native Microsoft 365 applications need this permission to work correctly. Elke niet-Microsoft-toepassing met deze machtiging moet zorgvuldig worden gecontroleerd.Every non-Microsoft application with this permission should be reviewed carefully.

  2. Controleer in de kolom Machtiging (kolom F) de machtigingen die elke gedelegeerde toepassing heeft voor inhoud.In the Permission column (column F) review the permissions that each delegated application has to content. Zoek naar de machtiging 'Lezen' en 'Schrijven' of '*. Alle" machtigingen en controleer deze zorgvuldig omdat ze mogelijk niet geschikt zijn.Look for "Read" and "Write" permission or "*.All" permission, and review these carefully because they may not be appropriate.

  3. Controleer de specifieke gebruikers die toestemming hebben verleend.Review the specific users that have consents granted. Als gebruikers met een hoog profiel of hoge impact ongepaste toestemmingen hebben verleend, moet u dit nader onderzoeken.If high profile or high impact users have inappropriate consents granted, you should investigate further.

  4. Zoek in de kolom ClientDisplayName (kolom C) naar apps die verdacht lijken.In the ClientDisplayName column (column C) look for apps that seem suspicious. Apps met verkeerd gespelde namen, super saaie namen of hacker-klinkende namen moeten zorgvuldig worden gecontroleerd.Apps with misspelled names, super bland names, or hacker-sounding names should be reviewed carefully.

Het bereik van de aanval bepalenDetermine the scope of the attack

Nadat u klaar bent met het inventariseren van toepassingstoegang, bekijkt u het auditlogboek om het volledige bereik van de inbreuk te bepalen.After you have finished inventorying application access, review the audit log to determine the full scope of the breach. Zoek op de getroffen gebruikers, de tijdframes die de illegale toepassing toegang had tot uw organisatie en de machtigingen die de app had.Search on the affected users, the time frames that the illicit application had access to your organization, and the permissions the app had. U kunt het auditlogboek doorzoeken in het beveiligings- & Compliancecentrum.You can search the audit log in the Security & Compliance Center.

Belangrijk

Postvakcontrole en Activiteitenaudit voor beheerders en gebruikers moeten zijn ingeschakeld vóór de aanval, zodat u deze informatie kunt krijgen.Mailbox auditing and Activity auditing for admins and users must have been enabled prior to the attack for you to get this information.

Nadat u een toepassing met illegale machtigingen hebt geïdentificeerd, kunt u deze toegang op verschillende manieren verwijderen.After you have identified an application with illicit permissions, you have several ways to remove that access.

  • U kunt de machtiging van de toepassing intrekken in de Azure Active Directory portal door:You can revoke the application's permission in the Azure Active Directory Portal by:

    • Ga naar de betreffende gebruiker in het Azure Active Directory Gebruikersblad.Navigate to the affected user in the Azure Active Directory User blade.

    • Selecteer Toepassingen.Select Applications.

    • Selecteer de illegale toepassing.Select the illicit application.

    • Klik op Verwijderen in de inzoomen.Click Remove in the drill down.

  • U kunt de toestemmingslening voor OAuth met PowerShell intrekken door de stappen in Remove-AzureADOAuth2PermissionGrant te volgen.You can revoke the OAuth consent grant with PowerShell by following the steps in Remove-AzureADOAuth2PermissionGrant.

  • U kunt de functietoewijzing voor service-apps intrekken met PowerShell door de stappen in Remove-AzureADServiceAppRoleAssignment te volgen.You can revoke the Service App Role Assignment with PowerShell by following the steps in Remove-AzureADServiceAppRoleAssignment.

  • U kunt de aanmelding voor het betreffende account ook helemaal uitschakelen, waardoor de toegang van apps tot gegevens in dat account wordt uitgeschakeld.You can also disable sign-in for the affected account altogether, which will in turn disable app access to data in that account. Dit is natuurlijk niet ideaal voor de productiviteit van de eindgebruiker, maar als u de impact snel wilt beperken, kan dit een goede oplossing zijn voor de korte termijn.This isn't ideal for the end user's productivity, of course, but if you are working to limit impact quickly, it can be a viable short-term remediation.

  • U kunt geïntegreerde toepassingen uitschakelen voor uw huurperiode.You can turn integrated applications off for your tenancy. Dit is een drastische stap die eindgebruikers de mogelijkheid uitwijst om toestemming te verlenen op tenantbasis.This is a drastic step that disables the ability for end users to grant consent on a tenant-wide basis. Hiermee voorkomt u dat uw gebruikers per ongeluk toegang verlenen tot een schadelijke toepassing.This prevents your users from inadvertently granting access to a malicious application. Dit wordt niet sterk aanbevolen, omdat het de mogelijkheid van uw gebruikers om productief te zijn met toepassingen van derden ernstig schaadt.This isn't strongly recommended as it severely impairs your users' ability to be productive with third party applications. U kunt dit doen door de stappen te volgen in Geïntegreerde apps in- of uitschakelen.You can do this by following the steps in Turning Integrated Apps on or off.

Microsoft 365 beveiligen als een cybersecurity proSecure Microsoft 365 like a cybersecurity pro

Uw Microsoft 365-abonnement heeft een krachtige reeks aan beveiligingsmogelijkheden die u kunt gebruiken om uw gegevens en gebruikers te beschermen.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Gebruik de Microsoft 365-roadmap voor beveiliging - Topprioriteiten voor de eerste 30 dagen, 90 dagen en verder om door Microsoft aanbevolen procedures voor het beveiligen van uw Microsoft 365-tenant te implementeren.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Taken die in de eerste 30 dagen moeten worden uitgevoerd.Tasks to accomplish in the first 30 days. Deze hebben direct effect en weinig invloed op uw gebruikers.These have immediate affect and are low-impact to your users.

  • Taken die binnen 90 dagen moeten worden uitgevoerd.Tasks to accomplish in 90 days. Deze nemen qua planning en implementatie iets meer tijd in beslag, maar zorgen voor aanzienlijke verbeteringen in uw beveiligingspostuur.These take a bit more time to plan and implement but greatly improve your security posture.

  • Na 90 dagen.Beyond 90 days. Deze verbeteringen zijn gebaseerd op de eerste 90 dagen.These enhancements build in your first 90 days work.

Zie ook:See also: