Onderzoek naar het verlenen van app-toestemming

Dit artikel bevat richtlijnen voor het identificeren en onderzoeken van app-toestemmingsaanvallen, het beveiligen van informatie en het minimaliseren van verdere risico's.

Dit artikel bevat de volgende secties:

  • Voorwaarden: Behandelt de specifieke vereisten die u moet voltooien voordat u het onderzoek start. Logboekregistratie die moet worden ingeschakeld, rollen en machtigingen zijn bijvoorbeeld vereist.
  • Workflow: Toont de logische stroom die u moet volgen om dit onderzoek uit te voeren.
  • Controlelijst: Bevat een lijst met taken voor elk van de stappen in het stroomdiagram. Deze controlelijst kan nuttig zijn in sterk gereglementeerde omgevingen om te controleren wat u hebt gedaan of gewoon als een kwaliteitspoort voor uzelf.
  • Onderzoeksstappen: Bevat een gedetailleerde stapsgewijze handleiding voor dit specifieke onderzoek.
  • Herstel: Bevat stappen op hoog niveau voor het herstellen/beperken van een aanval op illegale toepassingstoestemming.
  • Verwijzingen: Bevat extra lees- en referentiemateriaal.

Vereisten

Hier volgen algemene instellingen en configuraties die u moet voltooien om een onderzoek uit te voeren voor toepassingstoestemmingstoestemmingen. Voordat u begint met het onderzoek, moet u controleren of u hebt gelezen over de typen toestemmingsmachtigingen die worden uitgelegd in machtigingstypen voor toestemming.

Klantgegevens

Als u het onderzoeksproces wilt starten, hebt u de volgende gegevens nodig:

  • Toegang tot de tenant als een globaal Beheer - een cloudaccount (geen onderdeel van hun on-premises omgeving)
  • Details van indicatoren van inbreuk (IoC's)
  • De datum en tijd waarop u het incident hebt opgemerkt
  • Datumbereik
  • Aantal aangetaste accounts
  • Naam(en) van gecompromitteerde accounts
  • Rollen van het gecompromitteerde account
  • Zijn de accounts zeer bevoegd (GA Microsoft Exchange, SharePoint)?
  • Zijn er bedrijfstoepassingen die zijn gerelateerd aan het incident?
  • Hebben gebruikers namens hen een rapport gedaan over toepassingen die machtigingen voor gegevens aanvragen?

Systeemvereisten

Zorg ervoor dat u aan de volgende installaties en configuratievereisten voldoet:

  1. De AzureAD PowerShell-module is geïnstalleerd.
  2. U hebt globale beheerdersrechten voor de tenant waarvoor het script wordt uitgevoerd.
  3. U krijgt de lokale beheerdersrol toegewezen op de computer die u gaat gebruiken om de scripts uit te voeren.

De AzureAD-module installeren

Gebruik deze opdracht om de AzureAD-module te installeren.

Install-Module -Name AzureAD -Verbose

Notitie

Als u wordt gevraagd de modules te installeren vanuit een niet-vertrouwde opslagplaats, typt u Y en drukt u op Enter.

Het AzureADPSPermissions-script downloaden van GitHub

  1. Download het Get-AzureADPSPermissions.ps1-script van GitHub naar een map waaruit u het script gaat uitvoeren. Het uitvoerbestand 'permissions.csv' wordt ook naar dezelfde map geschreven.

  2. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  3. Maak verbinding met uw map met behulp van de Connect-AzureAD cmdlet. Hier volgt een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  4. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

    Verbreek uw AzureAD-sessie met deze opdracht.

    Disconnect-AzureAD
    

Toestemming is het proces van het verlenen van autorisatie aan een toepassing voor toegang tot beveiligde resources namens de gebruikers. Een beheerder of gebruiker kan om toestemming worden gevraagd om toegang tot hun organisatie/afzonderlijke gegevens toe te staan.

Een toepassing krijgt toegang tot gegevens op basis van een bepaalde gebruiker of voor de hele organisatie. Deze toestemmingen kunnen echter worden misbruikt door aanvallers om persistentie te verkrijgen voor de omgeving en toegang te krijgen tot gevoelige gegevens. Deze soorten aanvallen worden illegale toestemmingstoekenningen genoemd. Dit kan gebeuren via een phishing-e-mail, een gebruikersaccount dat inbreuk maakt via wachtwoordspray of wanneer een aanvaller een toepassing registreert als een legitieme gebruiker. In scenario's waarin een Global Beheer-account wordt aangetast, zijn de registratie en toestemmingstoestemming voor tenantbreed en niet alleen voor één gebruiker.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn postvak, maar kan geen toestemming geven om een app ongefettereerde toegang te geven tot lezen en schrijven naar alle bestanden in uw organisatie.

Notitie

Door gebruikers toegang te geven tot gegevens, kunnen gebruikers eenvoudig nuttige toepassingen verkrijgen en productief zijn. In sommige situaties kan deze configuratie echter een risico vormen als deze niet zorgvuldig wordt bewaakt en gecontroleerd.

Als u tenantbrede beheerderstoestemming wilt verlenen, moet u zich aanmelden als een van de volgende opties:

  • Hoofdbeheerder
  • Toepassingsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheerder - Geeft aan dat de toestemming is verstrekt door de beheerder (namens de organisatie)
  • Individuele gebruiker - Geeft aan dat de toestemming is verleend door de gebruiker en alleen toegang heeft tot de gegevens van die gebruiker
  • Geaccepteerde waarden
    • AllPrincipals - Toestemming gegeven door een beheerder voor de volledige tenancy
    • Principal – Toestemming gegeven door de afzonderlijke gebruiker voor gegevens die alleen betrekking hebben op dat account

De werkelijke gebruikerservaring van het verlenen van toestemming verschilt, afhankelijk van het beleid dat is ingesteld voor de tenant van de gebruiker, het bereik van de gebruiker van de autoriteit (of rol) en het type machtigingen dat wordt aangevraagd door de clienttoepassing. Dit betekent dat toepassingsontwikkelaars en tenantbeheerders enige controle hebben over de toestemmingservaring. Beheerders hebben de flexibiliteit om beleidsregels in te stellen en deactiveren voor een tenant of app om de toestemmingservaring in hun tenant te beheren. Toepassingsontwikkelaars kunnen bepalen welke typen machtigingen worden aangevraagd en of ze gebruikers willen begeleiden door de stroom voor gebruikerstoestemming of de stroom voor beheerderstoestemming.

  • Stroom voor gebruikerstoestemming : wanneer een ontwikkelaar van een toepassing gebruikers omwijst naar het autorisatie-eindpunt met de intentie om toestemming voor alleen de huidige gebruiker vast te leggen.

  • Beheer toestemmingsstroom: wanneer een toepassingsontwikkelaar gebruikers omwijst naar het eindpunt voor beheerderstoestemming met de intentie om toestemming voor de hele tenant vast te leggen. Om ervoor te zorgen dat de stroom voor beheerderstoestemming goed werkt, moeten toepassingsontwikkelaars alle machtigingen vermelden in de eigenschap RequiredResourceAccess in het toepassingsmanifest.

Gedelegeerde machtigingen versus toepassingsmachtigingen

Gedelegeerde machtigingen worden gebruikt door apps met een aangemelde gebruiker en kunnen toestemmingen hebben toegepast door de beheerder of gebruiker.

Toepassingsmachtigingen worden gebruikt door apps die worden uitgevoerd zonder een aangemelde gebruiker. Bijvoorbeeld apps die worden uitgevoerd als achtergrondservices of daemons. Toepassingsmachtigingen kunnen alleen worden toegestaan door een beheerder.

Zie voor meer informatie:

Riskante machtigingen classificeren

Er zijn duizenden (ten minste) machtigingen in het systeem en zijn niet haalbaar om al deze machtigingen weer te geven of te parseren. In de onderstaande lijst worden vaak misbruikte machtigingen besproken, en andere die een onherstelbare impact zouden hebben als ze worden misbruikt.

Op hoog niveau hebben we gezien dat de volgende 'root'-gedelegeerde machtigingen (App+User) worden misbruikt bij phishingaanvallen voor toestemming. De hoofdmap is gelijk aan het hoogste niveau. Contactpersonen .* betekent bijvoorbeeld dat alle gedelegeerde permutaties van machtigingen voor contactpersonen worden opgenomen: Contacts.Read, Contacts.ReadWrite, Contacts.Read.Shared en Contacts.ReadWrite.Shared.

  1. Mail.* (inclusief Mail.Send*, maar niet Mail.ReadBasic*)
  2. Contactpersonen. *
  3. MailboxSettings.*
  4. Personen.*
  5. Bestanden.*
  6. Notities.*
  7. Directory.AccessAsUser.All
  8. User_Impersonation

De eerste zeven machtigingen in de bovenstaande lijst zijn voor Microsoft Graph en de 'verouderde' API-equivalenten, zoals Azure Active Directory (Azure AD) Graph en Outlook REST. De achtste machtiging is voor Azure Resource Manager (ARM) en kan ook gevaarlijk zijn voor elke API die gevoelige gegevens beschikbaar maakt met dit deken-imitatiebereik.

Volgens onze observatie hebben aanvallers een combinatie van de eerste zes machtigingen gebruikt in de 99% van de phishingaanvallen voor toestemming. De meeste mensen denken niet aan de gedelegeerde versie van Mail.Read of Files.Read als een machtiging met een hoog risico, maar de aanvallen die we hebben gezien, zijn over het algemeen wijdverspreide aanvallen die gericht zijn op eindgebruikers, in plaats van spear phishing tegen beheerders die daadwerkelijk toestemming kunnen geven voor de gevaarlijke machtigingen. Het wordt aanbevolen om apps te bellen met dit 'kritieke' niveau van impactmachtigingen. Zelfs als de toepassingen geen kwaadwillende bedoelingen hebben en als een slechte actor inbreuk zou maken op de app-identiteit, kan uw hele organisatie risico lopen.

Voor de machtigingen voor de hoogste risico's begint u hier:

  • Toepassingsmachtiging (AppOnly/AppRole) versies van alle bovenstaande machtigingen, indien van toepassing

Gedelegeerde en AppOnly-versies van de volgende machtigingen:

  • Application.ReadWrite.All
  • Directory.ReadWrite.All
  • Domain.ReadWrite.All*
  • EduRoster.ReadWrite.All*
  • Group.ReadWrite.All
  • Member.Read.Hidden*
  • RoleManagement.ReadWrite.Directory
  • User.ReadWrite.All*
  • User.ManageCreds.All
  • Alle andere AppOnly-machtigingen die schrijftoegang toestaan

Begin hier voor de lijst met laagste risicomachtigingen:

  • User.Read
  • User.ReadBasic.All
  • Open_id
  • E-mail
  • Profiel
  • Offline_access (alleen als deze is gekoppeld aan andere machtigingen voor deze lijst met laagste risico's)

Machtigingen weergeven

  1. Als u de machtigingen wilt weergeven, gaat u naar het scherm Registratie in de bedrijfstoepassing.

    machtigingen weergeven

  2. Selecteer API-machtigingen weergeven.

    apipermissions

  3. Selecteer Een machtiging toevoegen en het volgende scherm wordt weergegeven.

    Api

  4. Selecteer Microsoft Graph om de verschillende typen machtigingen weer te geven.

    typen machtigingen

  5. Selecteer het type machtigingen dat de geregistreerde toepassing gebruikt: Gedelegeerdemachtigingen of toepassingsmachtigingen. In de bovenstaande afbeelding zijn toepassingsmachtigingen geselecteerd.

  6. U kunt zoeken naar een van de impactmachtigingen met een hoog risico, zoals EduRoster.

    examplepermission

  7. Selecteer EduRoster en vouw de machtigingen uit.

    eduroster

  8. U kunt deze machtigingen nu toewijzen of controleren.

    Lees Graph-machtigingen voor meer informatie.

Werkstroom

Werkstroom voor het verlenen van onderzoek van app-toestemming

U kunt ook het volgende doen:

  • Download de app-toestemmingstoestemming en andere playbookwerkstromen voor incidentrespons als PDF-bestand.
  • Download de app-toestemmingstoestemming en andere playbookwerkstromen voor incidentrespons als visio-bestand.

Controlelijst

Gebruik deze controlelijst om toepassingstoestemming te valideren.

  • Vereisten

    Zorg ervoor dat u toegang hebt tot de tenant als globale Beheer. Dit is een alleen-cloudaccount en maakt geen deel uit van uw on-premises omgeving.

  • Indicatoren van inbreuk (IoC)

    Controleer de volgende indicatoren van inbreuk (IoC):

    • Wanneer hebt u het incident opgemerkt?
    • Datumbereik van het incident (hoe ver is de doelpost?)
    • Aantal aangetaste accounts
    • Naam(en) van gecompromitteerde accounts
    • Rollen van de aangetaste accounts
    • Zijn de gecompromitteerde accounts zeer bevoegd, een standaardgebruiker of een combinatie
  • Rollen

    U moet aan deze rollen zijn toegewezen:

    • Globale beheerder rechten voor de tenant om het script uit te voeren
    • Lokale beheerdersrol op de computer van waaruit het script wordt uitgevoerd
  • PowerShell-configuratie

    Configureer uw PowerShell-omgeving met het volgende:

    • Installeer de Azure AD PowerShell-module.
    • Voer de Windows PowerShell-app uit met verhoogde bevoegdheden. (Als administrator uitvoeren).
    • Configureer PowerShell om ondertekende scripts uit te voeren.
    • Download het Get-AzureADPSPermissions.ps1 script.
  • Onderzoekstriggers

    • Accountcompromitt
    • Instellingen voor app-toestemming gewijzigd in de tenant
    • Waarschuwings-/controlegebeurtenisstatusreden 'riskante toepassing' gedetecteerd
    • Merkwaardige toepassingen

U kunt de app-toestemmingstoestemming en andere controlelijsten voor incidentplaybooks ook downloaden als een Excel-bestand.

Onderzoeksstappen

U kunt de volgende twee methoden gebruiken om toestemmingstoestemmingen van toepassingen te onderzoeken:

  • Azure Portal
  • PowerShell-script

Notitie

Als u de Azure Portal gebruikt, kunt u alleen Beheer Toestemmingstoestemmingen zien voor de afgelopen 90 dagen. Op basis hiervan raden we u aan om de PowerShell-scriptmethode alleen te gebruiken om de aanvalsstappen voor het registreren van onderzoek te verminderen.

Methode 1: de Azure Portal gebruiken

U kunt de Azure Active Directory-portal gebruiken om toepassingen te vinden waarvoor elke afzonderlijke gebruiker machtigingen heeft verleend.

  1. Meld u als beheerder aan bij de Azure Portal.
  2. Selecteer het pictogram van Azure Active Directory .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Toepassingen.
  6. U ziet de lijst met apps die zijn toegewezen aan de gebruiker en welke machtigingen deze toepassingen hebben.

Methode 2: PowerShell gebruiken

Er zijn verschillende PowerShell-hulpprogramma's die u kunt gebruiken om illegale toestemmingstoestemmingen te onderzoeken, zoals:

PowerShell is het eenvoudigste hulpprogramma en u hoeft niets in de tenant te wijzigen. We gaan ons onderzoek baseren op de openbare documentatie van de illegale toestemmingstoestemmingsaanval.

Voer deze opdracht Get-AzureADPSPermissions.ps1uit om alle OAuth-toestemmingstoestemmingen en OAuth-apps voor alle gebruikers in uw tenancy te exporteren naar een .csv-bestand . Zie de sectie Vereisten om het Get-AzureADPSPermissions script te downloaden en uit te voeren.

  1. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  2. Maak verbinding met uw directory met behulp van de volgende Connect-AzureAD-opdracht . Hier volgt een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  3. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv c:\temp\consentgrants\Permissions.csv -NoTypeInformation
    
  4. Zodra het script is voltooid, kunt u het beste de verbinding met de Azure AD sessie verbreken met deze opdracht.

     Disconnect-AzureAD
    

    Notitie

    Het uitvoeren van het script kan uren duren, afhankelijk van de grootte en machtigingen die zijn geconfigureerd en uw verbinding.

  5. Het script maakt een bestand met de naam Permissions.csv.

  6. Open het bestand, filter of formatteer de gegevens in een tabel en sla het op als een XLXS-bestand (voor filteren).

    De kolomkoppen voor uitvoer worden weergegeven in deze afbeelding.

    Voorbeeld van kolomkoppen

  7. Zoek in de kolom ConsentType(G) naar de waarde AllPrinciples. Met de machtiging AllPrincipals kan de clienttoepassing toegang krijgen tot de inhoud van iedereen in de tenancy. Systeemeigen Microsoft 365-toepassingen hebben deze machtiging nodig om correct te kunnen werken. Elke niet-Microsoft-toepassing met deze machtiging moet zorgvuldig worden bekeken.

  8. Controleer in de kolom Machtiging(F) de machtigingen die elke gedelegeerde toepassing heeft. Zoek naar lees- en schrijfmachtigingen of *. Alle machtigingen en bekijk deze zorgvuldig, omdat ze mogelijk niet geschikt zijn. Voorbeeld van machtigingskolom F

    Notitie

    Controleer de specifieke gebruikers die toestemming hebben verleend. Als gebruikers met een hoog profiel of een hoge impact ongepaste toestemming hebben verleend, moet u verder onderzoeken.

  9. Zoek in de kolom ClientDisplayName(C) naar apps die verdacht lijken, zoals:

    • Apps met verkeerd gespelde namen Voorbeeld van een verkeerd gespelde naam

    • Ongebruikelijke of blandnamen Voorbeeld van een ongebruikelijke naam

    • Hacker klinkende namen. U moet deze namen zorgvuldig bekijken. Voorbeeld van een hackernaam

Voorbeelduitvoer: AllPrincipals en alles lezen. Toepassingen hebben mogelijk niets verdachts, zoals blandnamen en maken gebruik van MS Graph. Voer echter onderzoek uit en bepaal het doel van de toepassingen en de werkelijke machtigingen die de toepassingen in de tenant hebben, zoals wordt weergegeven in dit voorbeeld.

Voorbeeld van toepassingen met het AllPrincipals ConsentType

Hier volgen enkele handige tips om onderzoek naar informatiebeveiligingsbeleid (ISP) te bekijken:

  1. ReplyURL/RedirectURL
    • Zoeken naar verdachte URL's
  2. Wordt de URL gehost op een verdacht domein?
    • Is het gecompromitteerd?
    • Is het domein onlangs geregistreerd?
    • Is het een tijdelijk domein?
  3. Zijn er service-/serviceovereenkomstkoppelingen in de app-registratie?
  4. Is de inhoud uniek en specifiek voor de toepassing/uitgever?
  5. Is de tenant die de toepassing heeft geregistreerd, ofwel nieuw gemaakt of aangetast (is de app bijvoorbeeld geregistreerd door een gebruiker met risico)?

Aanvalstechnieken

Hoewel elke aanval vaak varieert, zijn de belangrijkste aanvalstechnieken:

  • Een aanvaller registreert een app bij een OAuth 2.0-provider, zoals Azure AD.

  • De app is zodanig geconfigureerd dat deze legitiem lijkt. Aanvallers kunnen bijvoorbeeld de naam van een populair product gebruiken dat beschikbaar is in hetzelfde ecosysteem.

  • De aanvaller krijgt rechtstreeks een koppeling van gebruikers, die mogelijk worden uitgevoerd via conventionele phishing op basis van e-mail, door een niet-schadelijke website of via andere technieken in gevaar te brengen.

  • De gebruiker selecteert de koppeling en wordt een authentieke toestemmingsprompt weergegeven waarin wordt gevraagd om de schadelijke app machtigingen te verlenen aan gegevens.

  • Als een gebruiker Accepteren selecteert, verleent deze de app-machtigingen voor toegang tot gevoelige gegevens.

  • De app ontvangt een autorisatiecode, die wordt ingewisseld voor een toegangstoken en mogelijk een vernieuwingstoken.

  • Het toegangstoken wordt gebruikt om API-aanroepen namens de gebruiker uit te voeren.

  • Als de gebruiker akkoord gaat, kan de aanvaller toegang krijgen tot de e-mailberichten van de gebruiker, het doorsturen van regels, bestanden, contactpersonen, notities, profiel en andere gevoelige gegevens en bronnen.

    Voorbeeld van machtigingsaanvraag

Tekenen van een aanval vinden

  1. Open het Security & Compliance Center.

  2. Navigeer naar Zoeken en selecteer Zoeken in auditlogboek.

  3. Zoek (alle activiteiten en alle gebruikers) en voer indien nodig de begin- en einddatum in en selecteer vervolgens Zoeken.

    Voorbeeld van een zoekopdracht in auditlogboeken

  4. Selecteer Filterresultaten en voer in het veld Activiteittoestemming in voor de toepassing.

    Voorbeeld van het filteren van een zoekopdracht in auditlogboeken

  5. Als u activiteit hebt onder toestemming om te verlenen, gaat u verder zoals hieronder wordt beschreven.

  6. Selecteer het resultaat om de details van de activiteit weer te geven. Selecteer Meer informatie om details van de activiteit op te halen.

  7. Controleer of IsAdminContent is ingesteld op 'True'.

    Notitie

    Dit proces kan van 30 minuten tot 24 uur duren voordat de bijbehorende vermelding in het auditlogboek wordt weergegeven in de zoekresultaten nadat er een gebeurtenis is opgetreden.

    De tijdsduur dat een controlerecord wordt bewaard en doorzoekbaar is in het auditlogboek, is afhankelijk van uw Microsoft 365-abonnement en met name het type licentie dat is toegewezen aan een specifieke gebruiker. Als deze waarde waar is, geeft dit aan dat iemand met globale beheerderstoegang brede toegang heeft verleend tot gegevens. Als dit onverwacht is, moet u onmiddellijk stappen ondernemen om een aanval te bevestigen.

Hoe kan ik een aanval bevestigen?

Als u een of meer exemplaren van de hierboven vermelde IOC's hebt, moet u verder onderzoek doen om te bevestigen dat de aanval is opgetreden.

Apps inventariseren met toegang in uw organisatie

U kunt apps inventariseren voor uw gebruikers met behulp van de Azure Active Directory-portal, PowerShell of uw gebruikers afzonderlijk toegang tot hun toepassing laten inventariseren.

  • Gebruik de Azure Active Directory-portal om toepassingen en hun machtigingen te inventariseren. Deze methode is grondig, maar u kunt slechts één gebruiker tegelijk controleren, wat tijdrovend kan zijn als u de machtigingen van meerdere gebruikers moet controleren.
  • Gebruik PowerShell om toepassingen en hun machtigingen te inventariseren. Deze methode is de snelste en meest grondig, met de minste overhead.
  • Moedig uw gebruikers aan om hun apps en machtigingen afzonderlijk te controleren en de resultaten terug te rapporteren aan de beheerders voor herstel.

Inventaris-apps die zijn toegewezen aan gebruikers

U kunt de Azure Active Directory-portal gebruiken om de lijst weer te geven met apps waaraan elke afzonderlijke gebruiker machtigingen heeft verleend.

  1. Meld u aan bij Azure Portal met beheerdersrechten.
  2. Selecteer het pictogram van Azure Active Directory .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Toepassingen. U ziet de lijst met apps die zijn toegewezen aan de gebruiker en de machtigingen die aan deze apps zijn verleend.

Het bereik van de aanval bepalen

Nadat u klaar bent met het inventariseren van toegang tot toepassingen, controleert u het auditlogboek om het volledige bereik van de inbreuk te bepalen. Zoek op de betrokken gebruikers, de tijdsbestekken waarop de illegale toepassing toegang had tot uw organisatie en de machtigingen die de app had. U kunt in het auditlogboek zoeken in het Microsoft 365-beveiligings- en compliancecentrum.

Belangrijk: Als controle niet is ingeschakeld vóór de mogelijke aanval, kunt u niet onderzoeken omdat controlegegevens niet beschikbaar zijn.

Hoe kan ik aanvallen voorkomen en risico's beperken?

Als uw organisatie over de juiste licentie beschikt:

  • Gebruik aanvullende controlefuncties voor OAuth-toepassingen in Microsoft Defender for Cloud Apps.
  • Gebruik Azure Monitor-werkmappen om machtigingen en toestemmingsgerelateerde activiteit te controleren. De werkmap Consent Insights biedt een weergave van apps op basis van het aantal mislukte toestemmingsaanvragen. Dit kan handig zijn om toepassingen te prioriteren die beheerders kunnen beoordelen en bepalen of ze beheerderstoestemming moeten verlenen.

Nadat u een toepassing met illegale machtigingen hebt geïdentificeerd, schakelt u de toepassing onmiddellijk uit volgens de instructies in Een toepassing uitschakelen. Neem vervolgens contact op met Microsoft Ondersteuning om de schadelijke toepassing te rapporteren.

Zodra een toepassing is uitgeschakeld in uw Azure AD-tenant, kunnen er geen nieuwe tokens worden verkregen voor toegang tot gegevens en kunnen andere gebruikers zich niet aanmelden bij of toestemming verlenen aan de app.

Notitie

Als u vermoedt dat u een schadelijke toepassing in uw organisatie hebt aangetroffen, is het beter om deze uit te schakelen dan om deze te verwijderen. Als u de toepassing alleen verwijdert, kan deze later worden geretourneerd als een andere gebruiker toestemming verleent. Schakel in plaats daarvan de toepassing uit om ervoor te zorgen dat deze later niet meer terug kan komen.

Stappen voor het beveiligen van uw organisatie

Er zijn verschillende typen toestemmingsaanvallen, maar als u deze aanbevolen verdedigingsmechanismen volgt, waardoor alle soorten aanvallen worden beperkt, met name phishing van toestemming, waarbij aanvallers gebruikers misleiden om toegang te verlenen tot gevoelige gegevens of andere resources. In plaats van het wachtwoord van de gebruiker te stelen, zoekt een aanvaller toestemming voor een door een aanvaller beheerde app om toegang te krijgen tot waardevolle gegevens.

Zie de volgende aanbevelingen om te voorkomen dat toestemmingsaanvallen van invloed zijn op Azure AD en Office 365:

Beleid instellen

  • Deze instelling heeft gevolgen voor gebruikers en is mogelijk niet van toepassing op een omgeving. Als u toestemming wilt geven, moet u ervoor zorgen dat de beheerders de aanvragen goedkeuren.

  • Sta toestemmingen toe voor toepassingen van geverifieerde uitgevers en specifieke typen machtigingen die als weinig impact zijn geclassificeerd.

    Notitie

    De bovenstaande aanbevelingen worden voorgesteld op basis van de meest ideale, veilige configuraties. Omdat beveiliging echter een goede balans is tussen functionaliteiten en bewerkingen, kunnen de veiligste configuraties extra overhead voor beheerders veroorzaken. Het is een beslissing die het beste is genomen na overleg met uw beheerders.

    Stapsgewijze toestemming op basis van risico configureren: standaard ingeschakeld als toestemming van de gebruiker voor toekenning is ingeschakeld

  • Op risico gebaseerde stapsgewijze toestemming helpt de blootstelling van gebruikers aan schadelijke apps te verminderen die illegale toestemmingsaanvragen doen. Als Microsoft een riskante toestemmingsaanvraag voor eindgebruikers detecteert, moet de aanvraag in plaats daarvan een 'step-up' voor beheerderstoestemming vereisen. Deze mogelijkheid is standaard ingeschakeld, maar dit resulteert alleen in een gedragswijziging wanneer toestemming van eindgebruikers is ingeschakeld.

  • Wanneer een riskante toestemmingsaanvraag wordt gedetecteerd, wordt in de toestemmingsprompt een bericht weergegeven waarin wordt aangegeven dat goedkeuring van de beheerder nodig is. Als de werkstroom voor de aanvraag voor beheerderstoestemming is ingeschakeld, kan de gebruiker de aanvraag rechtstreeks vanuit de toestemmingsprompt verzenden naar de beheerder. Als dit niet is ingeschakeld, wordt het volgende bericht weergegeven:

    AADSTS90094: <clientAppDisplayName> heeft toestemming nodig voor toegang tot resources in uw organisatie die alleen een beheerder kan verlenen. Vraag een beheerder om toestemming te verlenen voor deze app voordat u deze kunt gebruiken. In dit geval wordt ook een controlegebeurtenis geregistreerd met een categorie van het activiteitstype ApplicationManagement van 'Toestemming voor toepassing' en statusreden van 'Riskante toepassing gedetecteerd'.

Notitie

Alle taken waarvoor goedkeuring van de beheerder is vereist, hebben operationele overhead. De 'Toestemming en machtigingen, gebruikerstoestemmingsinstellingen' is momenteel beschikbaar in preview . Zodra deze gereed is voor algemene beschikbaarheid (GA), moet de functie 'Gebruikerstoestemming van geverifieerde uitgevers toestaan, voor geselecteerde machtigingen' de overhead van beheerders verminderen en wordt aanbevolen voor de meeste organisaties.

Toestemming

Informeer uw toepassingsontwikkelaars om het betrouwbare app-ecosysteem te volgen.
Om ontwikkelaars te helpen bij het bouwen van hoogwaardige en veilige integraties, kondigen we ook openbare preview van de Integratieassistent aan in Azure AD app-registraties.

  • De Integratieassistent analyseert uw app-registratie en benchmarkt deze met een reeks aanbevolen aanbevolen beveiligingsprocedures.
  • De Integratieassistent markeert aanbevolen procedures die relevant zijn tijdens elke fase van de levenscyclus van uw integratie, van ontwikkeling tot bewaking, en zorgt ervoor dat elke fase correct is geconfigureerd.
  • Het is ontworpen om uw werk eenvoudiger te maken, of u nu uw eerste app integreert of u een expert bent die uw vaardigheden wilt verbeteren.

Informeer uw organisatie over toestemmingstactieken (phishingtactieken, beheerders- en gebruikerstoestemmingen ):

  • Controleer op slechte spelling en grammatica. Als een e-mailbericht of het toestemmingsscherm van de toepassing spel- en grammaticafouten bevat, is het waarschijnlijk een verdachte toepassing.
  • Houd de app-namen en domein-URL's in de gaten. Aanvallers vinden het leuk om namen van adresvervalsing-apps te gebruiken die ervoor zorgen dat deze afkomstig zijn van legitieme toepassingen of bedrijven, maar zorgen ervoor dat u toestemming geeft voor een schadelijke app.
  • Zorg ervoor dat u de naam en domein-URL van de app herkent voordat u toestemming voor een toepassing verleent.

Toegang verhogen en toegang verlenen tot apps die u vertrouwt

  • Promoveren het gebruik van toepassingen die zijn geverifieerd door de uitgever. Verificatie van uitgevers helpt beheerders en eindgebruikers inzicht te hebben in de authenticiteit van toepassingsontwikkelaars. Er zijn tot nu toe meer dan 660 toepassingen door 390 uitgevers geverifieerd.
  • Configureer beleid voor toepassingstoestemming door gebruikers alleen toestemming te geven voor specifieke toepassingen die u vertrouwt, zoals toepassingen die zijn ontwikkeld door uw organisatie of van geverifieerde uitgevers.
  • Informeer uw organisatie over hoe ons machtigingen- en toestemmingsframework werkt.
  • Inzicht in de gegevens en machtigingen die een toepassing vraagt en begrijpt hoe machtigingen en toestemming werken binnen ons platform.
  • Zorg ervoor dat beheerders weten hoe ze toestemmingsaanvragen kunnen beheren en evalueren.

Controleer apps en toestemmingsmachtigingen in uw organisatie om ervoor te zorgen dat toepassingen die worden gebruikt, alleen toegang hebben tot de gegevens die ze nodig hebben en zich houden aan de principes van minimale bevoegdheden.

Oplossingen

  • Informeer de klant en bied bewustzijn en training over het beveiligen van toestemmingstoestemmingen voor toepassingen
  • Het proces voor het verlenen van toepassingstoestemming aanscherpen met organisatiebeleid en technische controles
  • Planning maken instellen om toestemmingstoepassingen te controleren
  • U kunt PowerShell gebruiken om verdachte of schadelijke apps uit te schakelen door de app uit te schakelen

Referenties

De bron van de inhoud voor dit artikel is het volgende:

Aanvullende playbooks voor reactie op incidenten

Bekijk richtlijnen voor het identificeren en onderzoeken van deze aanvullende typen aanvallen:

Resources voor incidentrespons