Wykrywanie i korygowanie zgodzie niedozwolonych

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy

Podsumowanie Dowiedz się, jak rozpoznać i rozwiązać ten temat w Microsoft 365.

W przypadku ataku ze zgodą wsadową przez administratora użytkownik tworzy aplikację zarejestrowaną na platformie Azure, która prosi o dostęp do danych, takich jak dane kontaktowe, wiadomości e-mail czy dokumenty. Następnie atakujący nakłoni użytkownika końcowego do udzielenia tej aplikacji zgody na dostęp do jego danych w ramach ataku służącego do wyłudzania informacji lub przez wsuń kod źródłowy do zaufanej witryny internetowej. Po przyznaniu zgody aplikacji mobilnej ma ona dostęp do danych na poziomie konta bez konieczności stosowania konta organizacji. Normalne kroki rozwiązywania problemów, takie jak resetowanie haseł dla naruszeń kont lub wymaganie uwierzytelniania wieloskładnikowego na kontach, nie są skuteczne w przypadku tego typu ataków, ponieważ są to aplikacje innych firm i zewnętrzni organizacje.

W tych atakach wykorzystuje się model interakcji, który zakłada, że podmiot, który nazywa się informacjami, to automatyzacja, a nie ludzie.

Ważne

Czy podejrzewasz, że właśnie teraz występują problemy z wyrażeniem zgody przez aplikację? Program Microsoft Defender for Cloud Apps oferuje narzędzia do wykrywania, badanie i rozwiązywania problemów z aplikacjami OAuth. Ten artykuł dotyczący usługi Defender for Cloud Apps zawiera samouczek, w którym przedstawiono, jak badać ryzykowne aplikacje OAuth. Możesz również ustawić zasady aplikacji protokołu OAuth w celu zbadania uprawnień żądanych przez aplikację, które użytkownicy zatwierdzają te aplikacje, oraz do szerokiego zatwierdzania lub blokowania tych żądań uprawnień.

Musisz przeszukać dziennik inspekcji, aby znaleźć znaki, nazywane również wskaźnikami naruszenia zabezpieczeń (IOC, Indicators of Compromise) tego ataku. W przypadku organizacji z wieloma zarejestrowanymi aplikacjami na platformie Azure i dużą bazą użytkowników najlepszym rozwiązaniem jest co tydzień przeglądanie organizacji, na które się zgadzasz.

Procedura znajdowania znaków tego ataku

  1. Otwórz portal Microsoft 365 Defender, a https://security.microsoft.com następnie wybierz pozycję Inspekcja. Możesz też przejść bezpośrednio do strony Inspekcja, używając https://security.microsoft.com/auditlogsearch.

  2. Na stronie Inspekcja sprawdź, czy jest zaznaczona karta Wyszukiwanie, a następnie skonfiguruj następujące ustawienia:

    • Zakres dat i godzin
    • Działania: upewnij się , że jest zaznaczona opcja Pokaż wyniki dla wszystkich działań.

    Po zakończeniu kliknij pozycję Wyszukaj.

  3. Kliknij kolumnę Działanie , aby posortować wyniki i odszukaj pozycję Zgoda na aplikację.

  4. Wybierz pozycję z listy, aby wyświetlić szczegóły działania. Sprawdź, czy wartość IsAdminContent ma ustawioną wartość True (Prawda).

Uwaga

Może upłynieć od 30 minut do 24 godzin, aby wpis dziennika inspekcji został wyświetlony w wynikach wyszukiwania po zdarzeniu.

Czas zachowywania i przeszukiwania rekordu inspekcji w dzienniku inspekcji zależy od subskrypcji usługi Microsoft 365, a w szczególności od typu licencji przypisanej do określonego użytkownika. Aby uzyskać więcej informacji, zobacz Dziennik inspekcji.

Jeśli ta wartość jest prawdziwa, oznacza to, że osoba z uprawnieniami administratora globalnego może udzieliła szerokiego dostępu do danych. Jeśli jest to nieoczekiwane, należy podjąć kroki w celu potwierdzenia ataków.

Jak potwierdzić atak

Jeśli masz co najmniej jedno wystąpienie wymienionych powyżej zdarzeń IOCs, musisz wykonać dalsze badanie w celu pozytywnego potwierdzenia, że wystąpił atak. Możesz użyć dowolnej z tych trzech metod, aby potwierdzić atak:

  • Spis aplikacji i ich uprawnień przy użyciu portalu Azure Active Directory sieci Web. Ta metoda jest dokładna, ale można sprawdzać tylko jednego użytkownika jednocześnie, co może być bardzo czasochłonne, jeśli masz wielu użytkowników do sprawdzenia.
  • Spis aplikacji i ich uprawnień przy użyciu programu PowerShell. Jest to najszybsza i najbardziej dokładna metoda przy jak najmniejszym narzucie.
  • Zachęć użytkowników, aby indywidualnie sprawdzali swoje aplikacje i uprawnienia i zgłaszali wyniki z powrotem administratorom w celu ich rozwiązania.

Spis aplikacji z dostępem w Twojej organizacji

Możesz to zrobić dla użytkowników za pomocą portalu Azure Active Directory lub programu PowerShell albo z jednego wyliczenia dostępu do aplikacji przez twoich użytkowników.

Procedura korzystania z portalu Azure Active Directory a

Aplikacje, do których każdy użytkownik udzielił uprawnień, możesz sprawdzić, korzystając z portalu Azure Active Directory witryny https://portal.azure.com.

  1. Zaloguj się do portalu Azure Portal z prawami administracyjnymi.
  2. Wybierz grot Azure Active Directory grota.
  3. Wybierz pozycję Użytkownicy.
  4. Wybierz użytkownika, którego chcesz przejrzeć.
  5. Wybierz pozycję Aplikacje.

Spowoduje to pokazanie aplikacji przypisanych do użytkownika oraz uprawnień, jakie mają te aplikacje.

Procedura wyliczania dostępu do aplikacji przez użytkowników

Niech Twoi użytkownicy będą tam mieli dostęp https://myapps.microsoft.com do swoich aplikacji i mogą je przejrzeć. Powinny mieć możliwość wyświetlania wszystkich aplikacji z dostępem, wyświetlania szczegółów dotyczących tych aplikacji (w tym zakresu dostępu) oraz odwoływania uprawnień podejrzanych lub podejrzanych aplikacji.

Procedura wykonywania tej czynności przy użyciu programu PowerShell

Najprostszym sposobem zweryfikowania ataków na udzielenie zgody w celu udzielenia zgody jest uruchomienie programu Get-AzureADPSPermissions.ps1, co spowoduje ponowne zrzucie wszystkich uprawnień protokołu OAuth oraz aplikacji OAuth dla wszystkich użytkowników w ramach umowy odpowiedzialności w jednym .csv pliku.

Wymagania wstępne

  • Zainstalowano bibliotekę programu PowerShell usługi Azure AD.
  • Prawa administratora globalnego dzierżawy, dla których zostanie uruchomiony skrypt.
  • Administrator lokalny na komputerze, z którego będą uruchamiane skrypty.

Ważne

Zdecydowanie zalecamy wymaganie uwierzytelniania wieloskładnikowego na koncie administracyjnym. Ten skrypt obsługuje uwierzytelnianie uwierzytelniania MFA.

  1. Zaloguj się na komputerze, z których zostanie uruchomiony skrypt, z uprawnieniami administratora lokalnego.

  2. Pobierz lub skopiuj skryptGet-AzureADPSPermissions.ps1 z GitHub do folderu, z którego zostanie uruchomiony skrypt. Będzie to ten sam folder, w którym zostanie zapisany plik wyjściowy "permissions.csv".

  3. Otwórz sesję programu PowerShell jako administrator i otwórz folder, w którym zapisano skrypt.

  4. Połączenie do katalogu za pomocą polecenia cmdlet Połączenie-AzureAD.

  5. Uruchom to polecenie programu PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Skrypt tworzy jeden plik o nazwie Permissions.csv. Wykonaj poniższe czynności, aby poszukać niedozwolonych uprawnień aplikacji:

  1. W kolumnie ConsentType (kolumna G) wyszukaj wartość "AllPrinciples". Uprawnienie AllPrincipals (Wszystkie kapipaly) umożliwia aplikacji klienckiej dostęp do zawartości wszystkich osób w tym waty. Aby Microsoft 365 natywne aplikacje muszą mieć to uprawnienie. Wszystkie aplikacje inne niż firmy Microsoft z tym uprawnieniem powinny być dokładnie przeglądane.

  2. W kolumnie Uprawnienie (kolumna F) sprawdź uprawnienia, które każda aplikacja delegowana ma do zawartości. Odszukaj uprawnienia "Odczyt" i "Zapis" lub "*. Wszystkie" i przejrzyj je uważnie, ponieważ mogą być one nieumyślne.

  3. Przejrzyj użytkowników, którzy mają udzielone zgody. Jeśli użytkownicy o wysokim profilu lub w dużym wpływie mają udzielone nieodpowiednie zgody, należy dokładniej zbadać problem.

  4. W kolumnie ClientDisplayName (kolumna C) poszukaj aplikacji, które wyglądają podejrzanie. Aplikacje z błędnie napisanymi nazwami, nazwami super-bland lub nazwami hakerów powinny być dokładnie przeglądane.

Określanie zakresu ataków

Po zakończeniu inwentaryzacji dostępu do aplikacji przejrzyj dziennik inspekcji, aby ustalić pełny zakres naruszenia. Wyszukaj użytkowników, których dotyczy problem, ramki czasowe, do których dostęp miała aplikacja szukąca, i uprawnienia, które ta aplikacja miała. Dziennik inspekcji można przeszukiwać w portalu Microsoft 365 Defender sieci.

Ważne

Inspekcja skrzynek pocztowych i inspekcja działań dla administratorów i użytkowników muszą zostać włączone przed atakiem w celu uzyskania tych informacji.

Po zidentyfikowaniu aplikacji, która ma uprawnienia, można usunąć ten dostęp na kilka sposobów.

  • Możesz cofnąć uprawnienia aplikacji w portalu Azure Active Directory w:

    1. Przejdź do użytkownika, u którego został Azure Active Directory blade.
    2. Wybierz pozycję Aplikacje.
    3. Wybierz aplikację schłodną.
    4. Kliknij pozycję Usuń w menu przechodzenia do szczegółów.
  • Możesz odwołać udzielenie zgody protokołu OAuth w programie PowerShell, wykonać czynności opisane w te sposób: Remove-AzureADOAuth2PermissionGrant.

  • Można odwołać przypisanie roli aplikacji usługi za pomocą programu PowerShell, korzystając z procedury opisanej w te sposób: Remove-AzureADServiceAppRoleAssignment.

  • Możesz również całkowicie wyłączyć logowanie dla konta, którego dotyczy problem, co z kolei spowoduje wyłączenie dostępu aplikacji do danych na tym koncie. Oczywiście nie jest to idealne rozwiązanie dla wydajności pracy użytkownika końcowego, ale jeśli pracujesz nad krótkim ograniczeniem czasu, może to być rentowne i długoterminowe rozwiązanie.

  • Zintegrowane aplikacje można wyłączyć dla swojego wywalanych przez ciebie usług. Jest to znacząco zmiana, która uniemożliwi użytkownikom końcowy udzielenie zgody na udzielenie zgody dla całej dzierżawy. Zapobiega to przypadkowemu przyznaniu użytkownikom dostępu do złośliwej aplikacji. Nie jest to stanowczo zalecane, ponieważ znacznie utrudni użytkownikom wydajną pracę z aplikacjami innych firm. Możesz to zrobić, robiąc tak: włączanie i wyłączanie zintegrowanych aplikacji.

Zabezpieczanie Microsoft 365 jak najbezpieczniejsi

Subskrypcja Microsoft 365 jest wyposażona w zaawansowany zestaw funkcji zabezpieczeń, za pomocą których można chronić dane i użytkowników. Korzystaj z planu Microsoft 365 zabezpieczeń — najważniejsze priorytety w ciągu pierwszych 30, 90 dni i nie tylko, aby wdrożyć zalecane przez firmę Microsoft najważniejsze wskazówki dotyczące zabezpieczania Microsoft 365 dzierżawy.

  • Zadania, które można wykonać w ciągu pierwszych 30 dni. Mają one natychmiastowy wpływ i mają niski wpływ na twoich użytkowników.
  • Zadania, które można wykonać w ciągu 90 dni. Planowanie i implementacja tych aplikacji trwa nieco dłużej, ale znacznie poprawia twoje działania w zakresie zabezpieczeń.
  • Dłużej niż 90 dni. Te ulepszenia działają w ciągu pierwszych 90 dni.

Zobacz też