İzin Verme İzinlerini Algılama ve Düzeltme

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Özet Microsoft 365'te yasadışı onay verme saldırısını tanımayı ve düzeltmeyi öğrenin.

Microsoft 365'te yasadışı izin verme saldırısı nedir?

Yasadışı bir onay verme saldırısında, saldırgan kişi bilgileri, e-posta veya belgeler gibi verilere erişim isteyen Azure'a kayıtlı bir uygulama oluşturur. Saldırgan daha sonra bir kimlik avı saldırısı yoluyla veya güvenilir bir web sitesine yasadışı kod ekleyerek bu uygulamaya verilerine erişim izni vermesi için son kullanıcıyı kandırıyor. Yasadışı uygulamaya onay verildikten sonra, kuruluş hesabına gerek kalmadan verilere hesap düzeyinde erişime sahip olur. Normal düzeltme adımları (örneğin, parolaları sıfırlama veya çok faktörlü kimlik doğrulaması (MFA) gerektirme) bu tür saldırılara karşı etkili değildir çünkü bu uygulamalar kuruluş dışındadır.

Bu saldırılar, bilgileri çağıran varlığın insan değil otomasyon olduğunu varsayan bir etkileşim modeli kullanır.

Önemli

Şu anda bir uygulamadan gelen yasadışı onay vermelerle ilgili sorun yaşadığınızdan mı şüpheleniyorsunuz? Microsoft Defender for Cloud Apps, OAuth uygulamalarınızı algılamak, araştırmak ve düzeltmek için araçlar içerir. Bu Bulut Uygulamaları için Defender makalesinde , riskli OAuth uygulamalarını araştırma hakkında nasıl gidildiğini gösteren bir öğretici yer alır. Ayrıca, uygulama tarafından istenen izinleri araştırmak, bu uygulamaları hangi kullanıcıların yetkilendirdiği ve bu izin isteklerini geniş çapta onaylamak veya yasaklamak için OAuth uygulama ilkeleri ayarlayabilirsiniz.

Microsoft 365'te yasadışı onay verme saldırısı nasıl görünür?

Bu saldırının Risk Altındaki Göstergeler (IOC) olarak da adlandırılan işaretlerini bulmak için denetim günlüğünde arama yapmanız gerekir. Birçok Azure kayıtlı uygulaması ve büyük bir kullanıcı tabanı olan kuruluşlar için en iyi yöntem, kuruluşlarına verdiğiniz onayları haftalık olarak gözden geçirmektir.

Bu saldırının işaretlerini bulma adımları

1. adresinden Microsoft Defender portalını açın ve Ardından Denetim'ihttps://security.microsoft.com seçin. Alternatif olarak, doğrudan Denetim sayfasına gitmek için https://security.microsoft.com/auditlogsearch seçeneğini kullanın.

2. Denetim sayfasında, Arama sekmesinin seçili olduğunu doğrulayın ve aşağıdaki ayarları yapılandırın:

   • Tarih ve saat aralığı
   • Etkinlikler: Tüm etkinlikler için sonuçları göster seçeneğinin belirlendiğini doğrulayın.

   İşiniz bittiğinde Arama'ı seçin.

3. Sonuçları sıralamak için Etkinlik sütununu seçin ve Uygulamaya onay ver'i arayın.

4. Etkinliğin ayrıntılarını görmek için listeden bir girdi seçin. IsAdminConsent değerinin True olarak ayarlandığını denetleyin.

Not

Bir olay oluştuktan sonra ilgili denetim günlüğü girişinin arama sonuçlarında görüntülenmesi 30 dakikadan 24 saate kadar sürebilir.

Denetim kaydının tutulup denetim günlüğünde aranabilir olması, Microsoft 365 aboneliğinize ve özellikle belirli bir kullanıcıya atanan lisansın türüne bağlıdır. Daha fazla bilgi için bkz. Denetim günlüğü.

Değerin true olması, Genel Yönetici erişimi olan birinin verilere geniş erişim vermiş olabileceğini gösterir. Bu değer beklenmeyen bir durumsa , saldırıyı onaylamak için gereken adımları uygulayın.

Saldırıyı onaylama

Daha önce listelenen bir veya daha fazla GÇ örneğiniz varsa, saldırının gerçekleştiğini olumlu bir şekilde onaylamak için daha fazla araştırma yapmanız gerekir. Saldırıyı onaylamak için bu üç yöntemden herhangi birini kullanabilirsiniz:

• Microsoft Entra yönetim merkezi kullanarak uygulamaların ve izinlerinin envanterini oluşturun. Bu yöntem kapsamlıdır, ancak denetlemeniz gereken çok fazla kullanıcı varsa, aynı anda yalnızca bir kullanıcıyı denetleyebilirsiniz.
• PowerShell kullanarak uygulamaların ve izinlerinin envanterini oluşturun. Bu en hızlı ve en kapsamlı yöntemdir ve en az ek yük miktarına sahiptir.
• Kullanıcılarınızın uygulamalarını ve izinlerini tek tek denetlemesini ve sonuçları düzeltme için yöneticilere geri bildirmesini sağlayın.

Kuruluşunuzda erişimi olan envanter uygulamaları

Kullanıcılarınız için uygulamaları envantere kaydetmek için aşağıdaki seçeneklere sahipsiniz:

• Microsoft Entra yönetim merkezi.
• Powershell.
• Kullanıcılarınızın kendi uygulama erişimlerini ayrı ayrı listelemesini sağlayın.

Microsoft Entra yönetim merkezi kullanma adımları

Microsoft Entra yönetim merkezi kullanarak tek tek kullanıcıların izin verdiği uygulamaları arayabilirsiniz:

1. konumunda Microsoft Entra yönetim merkezi https://entra.microsoft.comaçın ve ardından Kimlik>Kullanıcıları> *Tüm kullanıcılar'a gidin. Veya doğrudan Kullanıcılar>Tüm kullanıcılar'a gitmek için kullanın https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
2. Görünen ad değerine tıklayarak gözden geçirmek istediğiniz kullanıcıyı bulun ve seçin.
3. Açılan kullanıcı ayrıntıları sayfasında Uygulamalar'ı seçin.

Bu adımlar, kullanıcıya atanan uygulamaları ve uygulamaların sahip olduğu izinleri gösterir.

Kullanıcılarınızın uygulama erişimlerini listelemesini sağlama adımları

Kullanıcılarınızın oraya gidip https://myapps.microsoft.com kendi uygulama erişimini gözden geçirmesini sağlayın. Erişimi olan tüm uygulamaları görebilmeli, bunlarla ilgili ayrıntıları görüntüleyebilmeli (erişim kapsamı dahil) ve şüpheli veya yasadışı uygulamaların ayrıcalıklarını iptal edebilmelidir.

PowerShell'deki adımlar

Yasadışı Onay Verme saldırısını doğrulamanın en basit yolu , kiracınızdaki tüm kullanıcılar için OAuth onaylarının ve OAuth uygulamalarının tek bir .csv dosyasına dökümünü alanGet-AzureADPSPermissions.ps1çalıştırmaktır.

Önkoşullar

• Azure AD PowerShell kitaplığı yüklü.
• Betiğin çalıştırıldığı kuruluşta Genel Yönetici izinleri.
• Betikleri çalıştırdığınız bilgisayarda Yerel Yönetici izinleri.

Önemli

Yönetici hesabınızda çok faktörlü kimlik doğrulaması gerektirmenizi kesinlikle öneririz . Bu betik MFA kimlik doğrulamayı destekler.

Not

Azure AD PowerShell'in 30 Mart 2024'te kullanımdan kaldırılması planlanmaktadır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Microsoft Graph PowerShell, tüm Microsoft Graph API'lerine erişim sağlar ve PowerShell 7'de kullanılabilir. Yaygın geçiş sorgularının yanıtları için bkz . Geçiş SSS.

1. Betikleri yerel yönetici haklarıyla çalıştırmak istediğiniz bilgisayarda oturum açın.

2. Get-AzureADPSPermissions.ps1 betiğini GitHub'dan kolayca bulunup anımsanabilecek bir klasöre indirin veya kopyalayın. Bu klasör ayrıca "permissions.csv" çıkış dosyasını yazmanız gereken yerdir.

3. Yükseltilmiş bir PowerShell oturumunu betiği kaydettiğiniz klasörde yönetici olarak açın.

4. Connect-MgGraph cmdlet'ini kullanarak dizininize bağlanın.

5. Şu PowerShell komutunu çalıştırın:

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

Betik, Permissions.csv adlı bir dosya oluşturur. Yasadışı uygulama izni vermek için şu adımları izleyin:

1. ConsentType sütununda (G sütunu) "AllPrinciples" değerini arayın. AllPrincipals izni, istemci uygulamasının kiracıdaki herkesin içeriğine erişmesini sağlar. Yerel Microsoft 365 uygulamalarının düzgün çalışması için bu izne sahip olması gerekir. Bu izne sahip Microsoft olmayan her uygulama dikkatle gözden geçirilmelidir.

2. İzin sütununda (F sütunu), temsilci olarak atanan her uygulamanın içerik için sahip olduğu izinleri gözden geçirin. "Okuma" ve "Yazma" iznini veya "Tümü" iznini arayın ve uygun olmayabilecekleri için bu izinleri dikkatle gözden geçirin.

3. İzin verilen belirli kullanıcıları gözden geçirin. Yüksek profilli veya yüksek değerli kullanıcıların uygun olmayan onayları varsa daha fazla araştırmanız gerekir.

4. ClientDisplayName sütununda (C sütunu) şüpheli görünen uygulamaları arayın. Yanlış yazılmış adlar, süper kötü adlar veya bilgisayar korsanı gibi adlara sahip uygulamalar dikkatle gözden geçirilmelidir.

Saldırının kapsamını belirleme

Uygulama erişiminin envanterini çıkardıktan sonra, ihlalin tam kapsamını belirlemek için denetim günlüğünü gözden geçirin. Etkilenen kullanıcılar, yasadışı uygulamanın kuruluşunuza erişimi olan zaman çerçeveleri ve uygulamanın sahip olduğu izinler üzerinde Arama. Microsoft Defender portalındadenetim günlüğünde arama yapabilirsiniz.

Önemli

Bu bilgileri alabilmeniz için posta kutusu denetimive Yöneticiler ve kullanıcılar için Etkinlik denetimi saldırıdan önce etkinleştirilmiş olmalıdır.

Yasadışı onay verme saldırısını durdurma ve düzeltme

Uygulamayı yasadışı izinlerle tanımladıktan sonra, bu erişimi kaldırmak için birkaç yolunuz vardır:

• Aşağıdaki adımları uygulayarak uygulamanın iznini Microsoft Entra yönetim merkezi iptal edebilirsiniz:

  1. konumunda Microsoft Entra yönetim merkezi https://entra.microsoft.comaçın ve ardından Kimlik>Kullanıcıları> *Tüm kullanıcılar'a gidin. Veya doğrudan Kullanıcılar>Tüm kullanıcılar'a gitmek için kullanın https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Görünen ad değerine tıklayarak etkilenen kullanıcıyı bulun ve seçin.
  3. Açılan kullanıcı ayrıntıları sayfasında Uygulamalar'ı seçin.
  4. Uygulamalar sayfasında, Ad değerine tıklayarak yasadışı uygulamayı seçin.
  5. Açılan Ödev ayrıntıları sayfasında Kaldır'ı seçin.

• Remove-MgOauth2PermissionGrant içindeki adımları izleyerek PowerShell ile OAuth onay verme işlemini iptal edebilirsiniz

• Remove-MgServicePrincipalAppRoleAssignment içindeki adımları izleyerek PowerShell ile Hizmet Uygulaması Rol Atamasını iptal edebilirsiniz.

• Etkilenen hesap için oturum açmayı devre dışı bırakabilirsiniz ve bu da uygulama tarafından hesaptaki verilere erişimi devre dışı bırakır. Bu eylem kullanıcı üretkenliği için ideal değildir, ancak saldırının sonuçlarını hızla sınırlamak kısa vadeli bir düzeltme olabilir.

• Kuruluşunuzdaki tümleşik uygulamaları kapatabilirsiniz. Bu eylem çok serttir. Kullanıcıların yanlışlıkla kötü amaçlı bir uygulamaya erişim vermelerini engellese de, tüm kullanıcıların herhangi bir uygulamaya onay vermelerini de engeller. Üçüncü taraf uygulamalarla kullanıcı üretkenliğini ciddi ölçüde olumsuz etkilediğinden bu eylemi önermeyiz. Tümleşik Uygulamaları Açma veya Kapatma'daki adımları izleyerek tümleşik uygulamaları kapatabilirsiniz.

Ayrıca bkz.

• Kurumsal uygulamalar'da listelenen uygulamalar , verilere erişimi olan beklenmeyen uygulamalar olduğunu fark ettikten sonra yöneticilere yapmak isteyebilecekleri çeşitli eylemlerde yol gösterir.
• Hızlı Başlangıç: Uygulamayı Microsoft kimlik platformu kaydetme, onay ve izinlere yönelik üst düzey bir genel bakıştır.
• Belirteç yaşam süresi ilkelerini yapılandırma , onayla ilgili çeşitli makalelere bağlantılar sağlar.
• Microsoft Entra ID'deki uygulama ve hizmet sorumlusu nesneleri, uygulama modelinin temeli olan Uygulama ve Hizmet sorumlusu nesnelerine genel bir bakış sağlar.
• Uygulamaya erişimi yönetme , yöneticilerin uygulamalara kullanıcı erişimini yönetmek için sahip olduğu özelliklere genel bir bakıştır.