Självstudie: Undersök riskfyllda OAuth-apparTutorial: Investigate risky OAuth apps

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

OAuth är en öppen standard för tokenbaserad autentisering och auktorisering.OAuth is an open standard for token-based authentication and authorization. OAuth gör det möjligt för en användares konto information att användas av tjänster från tredje part, utan att exponera användarens lösen ord.OAuth enables a user's account information to be used by third-party services, without exposing the user's password. OAuth fungerar som en mellanhand för användarens räkning, vilket ger tjänsten en åtkomsttoken som godkänner att en speciell konto information delas.OAuth acts as an intermediary on behalf of the user, providing the service with an access token that authorizes specific account information to be shared.

Till exempel en app som analyserar användarens kalender och ger honom råd om hur de blir mer produktiva behöver åtkomst till användarens kalender.For example, an app that analyses the user's calendar and gives him advice on how to become more productive needs access to the user's calendar. I stället för att ange användarens autentiseringsuppgifter, tillåter OAuth att appen endast får åtkomst till data baserat på en token, som genereras när användaren ger tillåtelse till en sida som kan visas i bilden nedan.Instead of providing the user's credentials, OAuth enables the app to get access to the data based only on a token, which is generated when the user provides consent to a page as can be seen in the below picture.

OAuth app-behörighet

Många appar från tredje part som kan installeras av affärs användare i din organisation, begär behörighet att få åtkomst till användar information och data och att logga in åt användaren i andra molnappar.Many third-party apps that might be installed by business users in your organization, request permission to access user information and data and sign in on behalf of the user in other cloud apps. När användarna installerar de här apparna klickar de ofta på acceptera utan att noggrant granska informationen i prompten, inklusive bevilja behörighet till appen.When users install these apps, they often click accept without closely reviewing the details in the prompt, including granting permissions to the app. Att acceptera program behörigheter från tredje part är en potentiell säkerhets risk för din organisation.Accepting third-party app permissions is a potential security risk to your organization.

Följande exempel på OAuth-appens medgivande kan se ut som legitim till den genomsnittliga användaren, men "Google API Explorer" behöver inte begära behörigheter från Google.For example, the following OAuth app consent page might look legitimate to the average user, however, "Google APIs Explorer" shouldn't need to request permissions from Google itself. Detta indikerar att appen kan vara ett phishing-försök, inte relaterat till Google alls.So this indicates that the app might be a phishing attempt, not related to Google at all.

OAuth phishing Google

Som säkerhets administratör behöver du insyn och kontroll över apparna i din miljö och som innehåller de behörigheter som de har.As a security admin, you need visibility and control over the apps in your environment and that includes the permissions they have. Du behöver möjlighet att förhindra användningen av appar som kräver behörighet till resurser som du vill återkalla.You need the ability to prevent use of apps that require permission to resources you wish to revoke. Därför ger Microsoft Cloud App Security dig möjlighet att undersöka och övervaka de app-behörigheter som användarna har beviljat.Therefore, Microsoft Cloud App Security provides you with the ability to investigate and monitor the app permissions your users granted. Den här artikeln är avsedd att hjälpa dig att undersöka OAuth-appar i din organisation och fokusera på de appar som troligen är misstänkta.This article is dedicated to helping you investigate the OAuth apps in your organization, and focus on the apps that are more likely to be suspicious.

Vi rekommenderar att du undersöker apparna med hjälp av de möjligheter och den information som finns i Cloud App Security portalen för att filtrera bort appar med en liten chans att vara riskfyllda och fokusera på misstänkta appar.Our recommended approach is to investigate the apps by using the abilities and information provided in the Cloud App Security portal to filter out apps with a low chance of being risky, and focus on the suspicious apps.

Identifiera riskfyllda OAuth-apparHow to detect risky OAuth apps

Att identifiera en riskfylld OAuth-app kan åstadkommas med:Detecting a risky OAuth app can be accomplished using:

  • Aviseringar: reagerar på en avisering som utlöses av en befintlig princip.Alerts: React to an alert triggered by an existing policy.
  • Jakt: Sök efter en riskfylld app bland alla tillgängliga appar, utan konkret misstanke om risker.Hunting: Search for a risky app among all the available apps, without concrete suspicion of a risk.

Identifiera riskfyllda appar med hjälp av aviseringarDetect risky apps using alerts

Du kan ställa in principer för att automatiskt skicka meddelanden när en OAuth-app uppfyller vissa villkor.You can set policies to automatically send you notifications when an OAuth app meets certain criteria. Du kan till exempel ange att en princip automatiskt ska meddela dig när en app identifieras som kräver hög behörighet och som har auktoriserats av fler än 50 användare.For example, you can set a policy to automatically notify you when an app is detected that requires high permissions and was authorized by more than 50 users. Mer information om hur du skapar OAuth-principer finns i principer för OAuth-appar.For further details on creating OAuth policies, see OAuth app policies.

Identifiera riskfyllda appar efter jaktDetect risky apps by hunting

  1. I portalen går du till Undersök och sedan OAuth-appar.In the portal, go to Investigate and then OAuth apps. Använd filtren och frågorna för att se vad som händer i din miljö:Use the filters and queries to review what's happening in your environment:

    • Ställ in filtret på behörighets nivå med hög allvarlighets grad och grupp användning som inte är gemensamt.Set the filter to Permission level high severity and Community use not common. Med det här filtret kan du fokusera på appar som kan vara mycket riskfyllda, där användare kan ha underskattat risken.Using this filter, you can focus on apps that are potentially very risky, where users may have underestimated the risk.

    • Under behörigheter väljer du alla alternativ som är särskilt riskfyllda i en särskild kontext.Under Permissions select all the options that are particularly risky in a specific context. Du kan till exempel välja alla filter som ger behörighet till e-poståtkomst, till exempel fullständig åtkomst till alla post lådor och sedan granska listan över appar för att se till att alla verkligen behöver e-postrelaterad åtkomst.For example, you can select all the filters that provide permission to email access, such as Full access to all mailboxes and then review the list of apps to make sure that they all really need mail-related access. Detta kan hjälpa dig att undersöka i en speciell kontext och hitta appar som verkar vara legitima, men som innehåller onödiga behörigheter.This can help you investigate within a specific context, and find apps that seem legitimate, but contain unnecessary permissions. Dessa appar är förmodligen mer riskfyllda.These apps are more likely to be risky.

      OAuth nätfiske-risk

    • Välj de sparade appar som tillåts av externa användare.Select the saved query Apps authorized by external users. Med det här filtret kan du hitta appar som kanske inte är justerade med företagets säkerhets krav.Using this filter, you can find apps that might not be aligned with your company's security standards.

  2. När du har granskat dina appar kan du fokusera på apparna i frågor som verkar vara legitima, men som faktiskt kan vara riskfyllda.After you review your apps, you can focus on the apps in the queries that seem legitimate but might actually be risky. Använd filtren för att hitta dem:Use the filters to find them:

    • Filtrera efter appar som har auktoriserats av ett litet antal användare.Filter for apps that are Authorized by a small number of users. Om du fokuserar på de här apparna kan du söka efter riskfyllda appar som har auktoriserats av en komprometterad användare.If you focus on these apps, you can look for risky apps that were authorized by a compromised user.
    • Appar som har behörigheter som inte matchar appens syfte, till exempel en klock app med fullständig åtkomst till alla post lådor.Apps that have permissions that don't match the app's purpose, for example, a clock app with full access to all mailboxes.
  3. Klicka på varje app för att öppna appens låda och kontrol lera om appen har ett misstänkt namn, utgivare eller webbplats.Click on each app to open the app drawer, and check to see if the app has a suspicious name, publisher, or website.

  4. Titta på listan över appar och mål program som har ett datum under senast auktoriserade som inte är senaste.Look at the list of apps and target apps that have a date under Last authorized that isn't recent. De här apparna kanske inte längre krävs.These apps may no longer be required.

    OAuth app-låda

Så här undersöker duHow to investigate

När du har fastställt att en app är misstänkt och du vill undersöka den rekommenderar vi följande viktiga principer för effektiv undersökning:After you determine that an app is suspicious and you want to investigate it, we recommend the following key principles for efficient investigation:

  • Den vanligare och använda en app är, antingen av din organisation eller online, desto mer sannolikt är det att vara säker.The more common and used an app is, either by your organization or online, the more likely it is to be safe.
  • En app bör bara kräva behörigheter som är relaterade till appens syfte.An app should require only permissions that are related to the app's purpose. Om så inte är fallet kan appen vara riskfylld.If that's not the case, the app might be risky.
  • Appar som kräver hög behörighet eller administrativt medgivande är mer sannolika att vara riskfyllda.Apps that require high privileges or admin consent are more likely to be risky.
  1. Klicka på appen för att öppna appens låda och klicka på länken under relaterade aktiviteter.Click on the app to open the app drawer and click the link under Related activities. Då öppnas aktivitets logg sidan filtrerad för aktiviteter som utförs av appen.This opens the Activity log page filtered for activities performed by the app. Tänk på att vissa appar utför aktiviteter som har registrerats som har utförts av en användare.Keep in mind that some apps perform activities that are registered as having been performed by a user. Dessa aktiviteter filtreras automatiskt bort från resultatet i aktivitets loggen.These activities are automatically filtered out of the results in the Activity log. Ytterligare undersökningar som använder aktivitets loggen finns i aktivitets loggen.For further investigation using the activity log, see Activity log.
  2. Om en app verkar misstänkt rekommenderar vi att du undersöker appens namn och utgivare i olika app-butiker.If an app seems suspicious, we recommended that you investigate the app's name and publisher in different app stores. Fokusera på följande appar, som kan vara misstankar:Focus on following apps, which might be suspicions:
    • Appar med ett lågt antal hämtningar.Apps with a low number of downloads.
    • Appar med låg klassificering eller poäng eller dåliga kommentarer.Apps with a low rating or score or bad comments.
    • Appar med en misstänkt utgivare eller webbplats.Apps with a suspicious publisher or website.
    • Appar vars senaste uppdatering inte är senaste.Apps whose last update is not recent. Detta kan tyda på att en app som inte längre stöds.This might indicate an app that is no longer supported.
    • Appar som har irrelevanta behörigheter.Apps that have irrelevant permissions. Detta kan tyda på att en app är riskfylld.This might indicate that an app is risky.
  3. Om appen fortfarande är misstänkt kan du undersöka appens namn, utgivare och URL online.If the app is still suspicious, you can research the app name, publisher, and URL online.
  4. Du kan exportera OAuth app audit för ytterligare analys av de användare som har auktoriserat en app.You can export the OAuth app audit for further analysis of the users who authorized an app. Mer information finns i granskning av OAuth-appar.For more information, see OAuth app auditing.

Så här åtgärdar duHow to remediate

När du har fastställt att en OAuth-app är riskfylld, innehåller Cloud App Security följande reparations alternativ:After you determine that an OAuth app is risky, Cloud App Security provides the following remediation options:

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.