Identifiera och åtgärda medgivandesstipend

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Sammanfattning Lär dig hur du känner igen och åtgärdar de medgivande som krävs för att bli överfallna i Microsoft 365.

I en attack med medgivande från medgivande skapar attackeraren ett Azure-registrerat program som begär åtkomst till data, till exempel kontaktinformation, e-post eller dokument. Då luras en slutanvändare att bevilja åtkomst till sina data via en nätfiskeattack eller genom att mata in kod från en betrodd webbplats. När programmet med programmet har beviljats medgivande har det åtkomst på kontonivå till data utan att ett organisationskonto behövs. Normal åtgärdssteg, t.ex. återställning av lösenord för konton som bryter mot konton eller krav på multifaktorautentisering (MFA) på konton, är inte gällande mot den här typen av attack, eftersom det är program från tredje part som inte ingår i organisationen.

Dessa attacker utnyttjar en interaktionsmodell som antas vara entitet som anropar informationen är automation och inte en person.

Viktigt

Misstänker du att du har problem med att få medgivande från en app, just nu? Microsoft Defender för molnappar har verktyg för att identifiera, undersöka och åtgärda OAuth-apparna. Denna artikel i Defender för molnappar innehåller en självstudiekurs som beskriver hur du undersöker riskfyllda OAuth-appar. Du kan också ange OAuth-appprinciper för att undersöka begärda behörigheter för appar, vilka användare som auktoriserar dessa appar, och allmänt godkänna eller förbjuda dessa behörighetsförfrågningar.

Du måste söka i granskningsloggen för att hitta tecken, även kallade indikatorer på kompromettering (IOC) för den här attacken. För organisationer med många Azure-registrerade program och en stor användarbas är det bäst att granska organisationens medgivande varje vecka.

Steg för att hitta tecken på den här attacken

  1. Öppna Microsoft 365 Defender och https://security.microsoft.com välj Granska . Eller om du vill gå direkt till sidan Granskning använder du https://security.microsoft.com/auditlogsearch.

  2. sidan Granska kontrollerar du att fliken Sök är markerad och konfigurerar sedan följande inställningar:

    • Datum och tidintervall
    • Aktiviteter: Kontrollera att Visa resultat för alla aktiviteter är markerat.

    Klicka på Sök när du är klar.

  3. Klicka på kolumnen Aktivitet för att sortera resultatet och leta efter Medgivande till programmet.

  4. Välj en post i listan om du vill se information om aktiviteten. Kontrollera om IsAdminContent är inställt på Sant.

Anteckning

Det kan ta från 30 minuter till 24 timmar innan motsvarande granskningsloggpost visas i sökresultatet efter att en händelse inträffat.

Hur lång tid som en granskningspost behålls och är sökbar i granskningsloggen beror på din Microsoft 365-prenumeration, och specifikt vilken typ av licens som är tilldelad till en viss användare. Mer information finns i Granskningslogg.

Om det här värdet är sant anger det att någon med global administratörsåtkomst kan ha beviljat bred åtkomst till data. Om detta är oväntat, vidta åtgärder för att bekräfta en attack.

Så här bekräftar du ett angrepp

Om du har en eller flera instanser av IOCs som anges ovan, måste du undersöka ytterligare för att bekräfta att attacken inträffade. Du kan använda någon av följande tre metoder för att bekräfta attacken:

  • Inventeringsprogram och deras behörigheter via Azure Active Directory portalen. Den här metoden är noggrann, men du kan bara kontrollera en användare i taget vilket kan ta lång tid om du har många användare att kontrollera.
  • Inventeringsprogram och deras behörigheter med hjälp av PowerShell. Det här är den snabbaste och mest genomgående metoden med minsta möjliga overhead.
  • Be användarna kontrollera appar och behörigheter individuellt och rapportera resultaten till administratörerna för åtgärd.

Inventeringsprogram med åtkomst i din organisation

Du kan göra detta för dina användare med Azure Active Directory portalen eller PowerShell eller ha användarna individuellt räkna upp deras programåtkomst.

Steg för att använda Azure Active Directory portalen

Du kan slå upp de program som en enskild användare har beviljats behörighet till genom att använda Azure Active Directory-portalen på https://portal.azure.com .

  1. Logga in på Azure Portal med administrativa rättigheter.
  2. Markera Azure Active Directory blad.
  3. Välj Användare.
  4. Markera den användare som du vill granska.
  5. Välj Program.

Då visas de appar som tilldelats användaren och vilka behörigheter programmen har.

Steg för att användarna ska räkna upp sin programåtkomst

Be användarna gå till https://myapps.microsoft.com och granska sin egen programåtkomst där. De bör kunna se alla appar som har åtkomst, visa information om dem (inklusive omfattningen av åtkomst) och kunna återkalla behörigheter till misstänkta eller misstänkta appar.

Anvisningar för hur du gör det med PowerShell

Det enklaste sättet att verifiera Attack med medgivande bevilja för medgivande är att köra Get-AzureADPSPermissions.ps1, som då tar bort alla OAuth-medgivandetillägg och OAuth-appar för alla användare i ditt innehavare i en .csv fil.

Förhandskrav

  • Azure AD PowerShell-biblioteket installerat.
  • Globala administratörsrättigheter för klientorganisationen som skriptet körs mot.
  • Lokal administratör på datorn som kör skripten från.

Viktigt

Vi rekommenderar att du kräver multifaktorautentisering på ditt administratörskonto. Det här skriptet har stöd för MFA-autentisering.

  1. Logga in på den dator som du kör skriptet från med lokala administratörsrättigheter.

  2. Ladda ned eller Get-AzureADPSPermissions.ps1 skriptet GitHub en mapp som du ska köra skriptet från. Det här blir samma mapp som utdatafilen "permissions.csv" skrivs till.

  3. Öppna en PowerShell-session som administratör och öppna den mapp där du sparade skriptet.

  4. Anslut till katalogen med hjälp Anslut-AzureAD-cmdleten.

  5. Kör det här PowerShell-kommandot:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Skriptet skapar en fil med namnet Permissions.csv. Följ de här anvisningarna om du vill söka efter beviljad behörighet för program:

  1. I kolumnen ConsentType (kolumn G) söker du efter värdet "AllPrinciples". Med behörigheten AllPrincipals kan klientprogrammet få åtkomst till innehållet från alla i innehavare. Ursprungliga Microsoft 365 behöver den här behörigheten för att fungera korrekt. Alla program som inte är Microsoft-program med den här behörigheten bör granskas noggrant.

  2. I kolumnen Behörighet (kolumn F) granskar du behörigheterna som varje delegerat program har till innehållet. Leta efter behörigheterna "Läsa" och "Skriva" eller "*. Alla" och granska dessa noggrant eftersom de kanske inte är lämpliga.

  3. Granska de specifika användare som har beviljats medgivande. Om användare med hög profil eller hög effekt får olämpliga medgivanden bör du undersöka ytterligare.

  4. Leta efter appar som verkar misstänkta i kolumnen ClientDisplayName (kolumn C). Appar med felstavade namn, supert bland namn eller hackares namn bör granskas noggrant.

Fastställa attackens omfattning

När du har slutfört inventeringen av programåtkomst granskar du granskningsloggen för att fastställa den fullständiga omfattningen av intrånget. Sök efter de användare som påverkas, de tidsramar som det aktuella programmet hade åtkomst till din organisation och vilka behörigheter appen hade. Du kan söka i granskningsloggen i Microsoft 365 Defender portalen.

Viktigt

Granskning av postlådor och aktivitet för administratörer och användare måste ha aktiverats före attacken för att du ska kunna få den här informationen.

När du har identifierat ett program med behörighet att skapa behörigheter kan du ta bort den åtkomsten på flera olika sätt.

  • Du kan återkalla programmets behörighet i den Azure Active Directory portalen genom att:

    1. Navigera till den aktuella användaren i Azure Active Directory i användarbladet.
    2. Välj Program.
    3. Välj programmet med en begäran om ett program för inbjudna.
    4. Klicka på Ta bort i detaljgranskningen nedåt.
  • Du kan återkalla OAuth-medgivandet med PowerShell genom att följa stegen i Remove-AzureADOAuth2PermissionGrant.

  • Du kan återkalla rolltilldelningen i Tjänstapp med PowerShell genom att följa stegen i Remove-AzureADServiceAppRoleAssignment.

  • Du kan också inaktivera inloggningen för det aktuella kontot helt och hållet, vilket i sin tur inaktiverar appåtkomst till data i det kontot. Det här är förstås inte perfekt för slutanvändarens produktivitet, men om du arbetar för att begränsa påverkan snabbt kan det vara en gångbar åtgärd på kort sikt.

  • Du kan inaktivera integrerade program under ditt innehavare. Det här är ett avsevärt steg som inaktiverar möjligheten för slutanvändare att bevilja medgivande i hela klientorganisationen. Det förhindrar att användarna oavsiktligt beviljar åtkomst till ett skadligt program. Det här rekommenderas inte särskilt mycket eftersom det allvarligt försämrar dina användares förmåga att vara produktiv med program från tredje part. Det kan du göra genom att följa anvisningarna i Aktivera eller inaktivera integrerade appar.

Skydda Microsoft 365 som en expert på cybersäkerhet

Din Microsoft 365-prenumeration innehåller kraftfulla säkerhetsfunktioner som du kan använda för att skydda dina data och dina användare. Använd Säkerhetsöversikt för Microsoft 365 – de vanligaste prioriteringarna för de första 30 dagarna, 90 dagarna och bortom för att implementera Microsofts metodtips för att skydda din Microsoft 365-klientorganisation.

  • Uppgifter som ska utföras under de första 30 dagarna. De har omedelbar effekt och påverkar inte användarna i någon större utsträckning.
  • Uppgifter som ska utföras inom 90 dagar. De tar lite längre tid att planera och implementera men förbättrar din säkerhet avsevärt.
  • Mer än 90 dagar. De här förbättringarna uppnås under de första 90 dagarna.

Se även