教程:调查和修正有风险的 OAuth 应用

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

注意

尝试使用新的应用治理加载项Microsoft Defender for Cloud Apps以获取更深入的保护、应用使用情况见解、治理和修正功能,以便直接访问 M365 应用客户数据的应用。 有关详细信息,请参阅预览版) 中Microsoft Defender for Cloud Apps (的应用治理加载项

了解客户资格在此处注册免费试用

OAuth 是一种基于令牌的身份验证和授权的开放标准。 OAuth 允许第三方服务使用用户的帐户信息,而不公开用户的密码。 OAuth 代表用户充当中介,为服务提供一个访问令牌,该令牌将授权共享特定的帐户信息。

例如,可分析用户的日历并为其提供有关如何提高工作效率的建议的应用需要访问用户的日历。 OAuth 允许应用仅基于在用户同意下图中显示的页面时生成的令牌(而不是提供用户的凭据)访问数据。

OAuth app permission.

可能由组织中的业务用户安装的许多第三方应用会请求权限,用于访问用户信息和数据,并代表用户在其他云应用中登录。 当用户安装这些应用时,他们通常会单击“接受”,而不会仔细查看提示中的详细信息,其中就包括向应用授予相关权限。 接受第三方应用权限将对组织产生潜在的安全风险。

例如,以下 OAuth 应用同意页对普通用户而言可能看起来合法,但是,“Google APIs Explorer”不必从 Google 本身请求权限。 这表示应用可能会进行钓鱼尝试,这与 Google 完全无关。

OAuth phishing google.

作为安全管理员,需要监视并控制环境中的应用,其中包括应用拥有的权限。 需要具备一种功能,阻止使用需要对要撤销的资源拥有权限的应用。 因此,Microsoft Defender for Cloud Apps使你能够调查和监视用户授予的应用权限。 本文旨在帮助你调查组织中的 OAuth 应用,并重点关注那些更可疑的应用。

建议的方法是使用Defender for Cloud应用门户中提供的功能和信息来调查应用,以筛选出风险较低的应用,并专注于可疑应用。

本教程介绍以下操作:

如何检测出有风险的 OAuth 应用

可以通过以下方式检测出有风险的 OAuth 应用:

  • 警报:对由现有策略触发的警报做出响应。
  • 搜索:搜索所有可用应用中有风险的应用,而不必具体怀疑风险。

使用警报检测有风险的应用

可以将策略设置为在 OAuth 应用满足特定条件时自动向你发送通知。 例如,可以将策略设置为在检测到应用需要较高权限并由超过 50 位用户授权时自动发出通知。 有关创建 OAuth 策略的详细信息,请参阅 OAuth 应用策略

通过搜索检测有风险的应用

  1. 在门户中,依次转到“调查”和“OAuth 应用”。 使用筛选器和查询来查看环境中发生的情况:

    • 将筛选器设置为“高严重性权限级别”和“社区使用不普遍”。 使用此筛选器,可以重点关注具有潜在高风险、但用户可能低估了风险的应用。

    • 在“权限”下,选择在特定上下文中尤其容易存在风险的所有选项。 例如,可以选择提供电子邮件访问权限(如“对所有邮箱的完全访问权限”)的所有筛选器,然后查看应用列表,确保它们确实都需要与邮件相关的访问权限。 这有助于在特定上下文中进行调查,并找到看似合法但包含不必要权限的应用。 这些应用更可能存在风险。

      OAuth phishing risky.

    • 选择已保存的查询“由外部用户授权的应用”。 使用此筛选器有助于发现可能不符合公司安全标准的应用。

  2. 查看应用后,可以重点关注查询中看似合法但实际可能有风险的应用。 使用筛选器可以找到它们:

    • 筛选出由少数用户授权的应用。 如果重点关注这些应用,可以查找由遭到入侵的用户授权的有风险的应用。
    • 具有不符合应用用途的权限的应用,例如,对所有邮箱具有完全访问权限的时钟应用。

  3. 选择每个应用以打开应用抽屉,看看应用是否有可疑名称、发布者或网站。

  4. 查看应用和目标应用列表,这些应用的日期在“最新授权时间”下不是最新的。 可能不再需要这些应用。

    OAuth app drawer.

如何调查可疑的 OAuth 应用

确定某个应用可疑并想要对其进行调查后,我们建议使用以下关键原则进行高效调查:

  • 由组织使用或联机使用的应用越常见、使用频率越高,安全性就可能越高。
  • 应用只能要求具备与应用用途相关的权限。 如果不是这样,则应用可能有风险。
  • 需要较高权限或管理员同意的应用更可能存在风险。
  1. 选择应用以打开应用抽屉,并选择“相关活动”下的链接。 这会打开为应用执行的活动筛选的“活动日志”页。 请注意,某些应用执行的活动被注册为用户执行的活动。 这些活动会自动从“活动日志”的结果中筛选出来。 有关使用活动日志的进一步调查,请参阅活动日志
  2. 在抽屉中,选择“同意活动”以调查活动日志中的用户同意应用进行的操作。
  3. 如果应用看起来可疑,建议调查应用在不同应用商店中的名称和发布者。 重点关注以下应用,它们可能是可疑应用:
    • 下载次数较少的应用。
    • 评分或分数较低或评论较差的应用。
    • 具有可疑发布者或网站的应用。
    • 不是最近更新的应用。 这可能表示不再支持某个应用。
    • 具有无关权限的应用。 这可能表示应用存在风险。
  4. 如果应用仍可疑,你可以在线研究应用名称、发布者和 URL。
  5. 可以导出 OAuth 应用审核,以便进一步分析授权应用的用户。 要获取详细信息,请参阅 OAuth 应用审核

如何修正可疑的 OAuth 应用

确定 OAuth 应用有风险后,Defender for Cloud应用提供以下修正选项:

后续步骤

保护云环境的日常活动

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证