Tutorial: Investigue e remedia aplicações arriscadas da OAuth
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Nota
Experimente o novo complemento de governança da aplicação para Microsoft Cloud App Security para obter uma proteção mais profunda, insights de utilização de aplicações, governação e capacidades de remediação para apps que acedam diretamente aos dados do cliente da aplicação M365. Para obter mais informações, consulte o complemento de governação da App para Microsoft Cloud App Security (em pré-visualização).
Saiba mais sobre a elegibilidade do cliente e inscreva-se para um teste gratuito aqui.
OAuth é um padrão aberto para autenticação e autorização baseada em símbolos. A OAuth permite que as informações da conta de um utilizador sejam utilizadas por serviços de terceiros, sem expor a palavra-passe do utilizador. A OAuth atua como intermediário em nome do utilizador, fornecendo ao serviço um token de acesso que autoriza a partilha de informações específicas da conta.
Por exemplo, uma aplicação que analisa o calendário do utilizador e dá conselhos sobre como se tornar mais produtivo, precisa de acesso ao calendário do utilizador. Em vez de fornecer as credenciais do utilizador, a OAuth permite que a app tenha acesso aos dados apenas com base num token, que é gerado quando o utilizador dá consentimento a uma página como pode ser visto na imagem abaixo.

Muitas aplicações de terceiros que possam ser instaladas por utilizadores empresariais na sua organização, solicitam permissão para aceder a informações e dados dos utilizadores e iniciar sedus em nome do utilizador em outras aplicações na nuvem. Quando os utilizadores instalam estas aplicações, muitas vezes clicam em aceitar sem rever de perto os detalhes no pedido, incluindo a concessão de permissões à app. Aceitar permissões de aplicações de terceiros é um potencial risco de segurança para a sua organização.
Por exemplo, a seguinte página de consentimento da aplicação OAuth pode parecer legítima para o utilizador médio, no entanto, "Google APIs Explorer" não deve precisar de solicitar permissões da própria Google. Isto indica que a aplicação pode ser uma tentativa de phishing, não relacionada com o Google.

Como administrador de segurança, precisa de visibilidade e controlo sobre as aplicações no seu ambiente e isso inclui as permissões que têm. Precisa da capacidade de impedir o uso de apps que requerem permissão para recursos que deseja revogar. Por isso, Microsoft Cloud App Security lhe fornece a capacidade de investigar e monitorizar as permissões da aplicação concedidas pelos seus utilizadores. Este artigo é dedicado a ajudá-lo a investigar as aplicações da OAuth na sua organização, e focar-se nas aplicações que são mais propensos a suspeitar.
A nossa abordagem recomendada é investigar as aplicações utilizando as habilidades e informações fornecidas no portal Cloud App Security para filtrar aplicações com uma baixa probabilidade de serem arriscadas, e focar-se nas aplicações suspeitas.
Neste tutorial, irá aprender a:
Como detetar aplicações arriscadas da OAuth
A deteção de uma aplicação arriscada da OAuth pode ser realizada utilizando:
- Alertas: React a um alerta desencadeado por uma política existente.
- Caça: Procure uma aplicação de risco entre todas as aplicações disponíveis, sem suspeita concreta de risco.
Detetar aplicações de risco usando alertas
Pode definir políticas para enviar automaticamente notificações quando uma aplicação OAuth satisfaz determinados critérios. Por exemplo, pode definir uma política para o notificar automaticamente quando for detetada uma aplicação que requer permissões elevadas e foi autorizada por mais de 50 utilizadores. Para obter mais informações sobre a criação de políticas OAuth, consulte as políticas de aplicações da OAuth.
Detetar aplicações arriscadas através da caça
No portal, vá a Investigar e depois aplicações OAuth. Use os filtros e consultas para rever o que está a acontecer no seu ambiente:
Coloque o filtro no nível de permissão alta gravidade e utilização comunitária não é comum. Utilizando este filtro, pode focar-se em aplicações potencialmente muito arriscadas, onde os utilizadores podem ter subestimado o risco.
Ao abrigo de Permissões selecione todas as opções que são particularmente arriscadas num contexto específico. Por exemplo, pode selecionar todos os filtros que fornecem permissão para o acesso por e-mail, como o acesso completo a todas as caixas de correio e, em seguida, rever a lista de aplicações para garantir que todos eles realmente precisam de acesso relacionado com correio. Isto pode ajudá-lo a investigar dentro de um contexto específico, e encontrar aplicações que pareçam legítimas, mas contenham permissões desnecessárias. Estas aplicações são mais suscetíveis de serem arriscadas.

Selecione as aplicações de consulta guardadas autorizadas por utilizadores externos. Utilizando este filtro, pode encontrar aplicações que podem não estar alinhadas com os padrões de segurança da sua empresa.
Depois de rever as suas apps, pode focar-se nas aplicações nas consultas que parecem legítimas, mas que podem ser arriscadas. Utilize os filtros para os encontrar:
- Filtrar para aplicações que são autorizadas por um pequeno número de utilizadores. Se se concentrar nestas aplicações, pode procurar aplicações de risco que foram autorizadas por um utilizador comprometido.
- Aplicações que têm permissões que não correspondem ao propósito da aplicação, por exemplo, uma aplicação de relógio com acesso total a todas as caixas de correio.
Selecione cada aplicação para abrir a gaveta da aplicação e verifique se a aplicação tem um nome suspeito, editor ou site.
Veja a lista de apps e aplicações-alvo que têm uma data sob a última autorização que não é recente. Estas aplicações podem deixar de ser necessárias.

Como investigar aplicações suspeitas de OAuth
Depois de determinar que uma aplicação é suspeita e quer investigá-la, recomendamos os seguintes princípios fundamentais para uma investigação eficiente:
- Quanto mais comum e usada uma aplicação é, seja pela sua organização ou online, mais provável que seja segura.
- Uma aplicação deve exigir apenas permissões relacionadas com o propósito da app. Se não for esse o caso, a aplicação pode ser arriscada.
- As aplicações que requerem privilégios elevados ou consentimento administrativo são mais suscetíveis de serem arriscadas.
- Selecione a aplicação para abrir a gaveta da aplicação e selecione o link em atividades relacionadas. Isto abre a página de registo de Atividade filtrada para atividades realizadas pela aplicação. Tenha em mente que algumas aplicações realizam atividades que estão registadas como tendo sido realizadas por um utilizador. Estas atividades são automaticamente filtradas dos resultados no registo de Atividade. Para mais investigação utilizando o registo de atividades, consulte o registo de atividades.
- Na gaveta, selecione Atividades de Consentimento para investigar os consentimentos do utilizador para a aplicação no registo de atividades.
- Se uma aplicação parecer suspeita, recomendamos que investigue o nome da aplicação e editor em diferentes lojas de aplicações. Concentre-se em seguintes apps, que podem ser suspeitas:
- Aplicativos com um número reduzido de downloads.
- Aplicativos com uma classificação baixa ou pontuação ou maus comentários.
- Aplicativos com um editor ou site suspeito.
- Aplicações cuja última atualização não é recente. Isto pode indicar uma aplicação que já não é suportada.
- Aplicativos que têm permissões irrelevantes. Isto pode indicar que uma aplicação é arriscada.
- Se a aplicação ainda estiver suspeita, pode pesquisar online o nome da aplicação, editor e URL.
- Pode exportar a auditoria da aplicação OAuth para uma análise mais aprofundada dos utilizadores que autorizaram uma aplicação. Para obter mais informações, consulte a auditoria da aplicação OAuth.
Como remediar aplicações suspeitas de OAuth
Depois de determinar que uma aplicação OAuth é arriscada, Cloud App Security fornece as seguintes opções de reparação:
Remediação manual: Pode proibir facilmente a revogação de uma aplicação a partir da página de aplicações da OAuth
Remediação automática: Pode criar uma política que revogue automaticamente uma aplicação ou revogue um utilizador específico de uma aplicação.
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.