Megosztás a következőn keresztül:

Kockázatos OAuth-alkalmazások vizsgálata és elhárítása

  • Cikk

Az OAuth a jogkivonat-alapú hitelesítés és engedélyezés nyílt szabványa. Az OAuth lehetővé teszi, hogy a felhasználó fiókadatait külső szolgáltatások használják a felhasználó jelszavának felfedése nélkül. Az OAuth közvetítőként működik a felhasználó nevében, és olyan hozzáférési jogkivonatot biztosít a szolgáltatásnak, amely engedélyezi bizonyos fiókadatok megosztását.

Például egy olyan alkalmazásnak, amely elemzi a felhasználó naptárát, és tanácsokat ad a hatékonyabb munkavégzéshez, hozzá kell férnie a felhasználó naptárához. A felhasználó hitelesítő adatainak megadása helyett az OAuth lehetővé teszi, hogy az alkalmazás csak egy jogkivonat alapján férhessen hozzá az adatokhoz, amely akkor jön létre, amikor a felhasználó hozzájárulást ad egy laphoz, ahogy az az alábbi képen látható.

OAuth-alkalmazásengedély.

Számos külső alkalmazás, amelyet a szervezet üzleti felhasználói telepíthetnek, engedélyt kérnek a felhasználói adatok és adatok elérésére, valamint a felhasználó nevében más felhőalkalmazásokba való bejelentkezésre. Amikor a felhasználók telepítik ezeket az alkalmazásokat, gyakran az Elfogadás gombra kattintanak anélkül, hogy alaposan áttekintenék a kérdés részleteit, beleértve az alkalmazás engedélyeinek megadását is. A külső alkalmazásengedélyek elfogadása potenciális biztonsági kockázatot jelent a szervezet számára.

A következő OAuth-alkalmazás-hozzájárulási oldal például jogosnak tűnhet az átlagos felhasználó számára, azonban a "Google API-k kezelőjének" nem kell engedélyt kérnie a Google-tól. Ez tehát azt jelzi, hogy az alkalmazás adathalász kísérlet lehet, és egyáltalán nem kapcsolódik a Google-hoz.

OAuth adathalász google.

Biztonsági rendszergazdaként át kell tekintenie és szabályoznia kell a környezetében lévő alkalmazásokat, beleértve az engedélyeit is. Meg kell akadályoznia az olyan alkalmazások használatát, amelyek engedélyt igényelnek a visszavonni kívánt erőforrásokhoz. Ezért a Microsoft Defender for Cloud Apps lehetővé teszi a felhasználók által megadott alkalmazásengedélyek vizsgálatát és monitorozását. Ez a cikk a szervezet OAuth-alkalmazásainak vizsgálatához nyújt segítséget, és a gyanúsabb alkalmazásokra összpontosít.

Javasoljuk, hogy vizsgálja meg az alkalmazásokat a Defender for Cloud Apps által biztosított képességekkel és információkkal, hogy kiszűrje az alacsony kockázatú alkalmazásokat, és a gyanús alkalmazásokra összpontosítson.

Az oktatóanyag segítségével megtanulhatja a következőket:

Megjegyzés:

Ez a cikk az OAuth-alkalmazások oldalról származó mintákat és képernyőképeket használ, amelyek akkor használatosak, ha nincs bekapcsolva az alkalmazásirányítás.

Ha előzetes verziójú funkciókat használ, és be van kapcsolva az alkalmazásirányítás, ugyanezek a funkciók érhetők el az Alkalmazásirányítás oldalon.

További információ: Alkalmazásirányítás a Microsoft Defender for Cloud Apps-ban.

Kockázatos OAuth-alkalmazások észlelése

A kockázatos OAuth-alkalmazások észlelése az alábbiak használatával valósítható meg:

  • Riasztások: React egy meglévő szabályzat által aktivált riasztásra.
  • Veszélyforrás-keresés: Kockázatos alkalmazást kereshet az összes elérhető alkalmazás között, kockázat gyanúja nélkül.

Kockázatos alkalmazások észlelése riasztásokkal

Beállíthat olyan szabályzatokat, amelyek automatikusan értesítéseket küldenek, ha egy OAuth-alkalmazás megfelel bizonyos feltételeknek. Beállíthat például egy szabályzatot, amely automatikusan értesíti Önt, ha olyan alkalmazást észlel, amely magas szintű engedélyeket igényel, és több mint 50 felhasználó engedélyezte. További információ az OAuth-szabályzatok létrehozásáról: OAuth-alkalmazásszabályzatok.

Kockázatos alkalmazások észlelése veszélyforrás-kereséssel

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen az OAuth-alkalmazások területre. A szűrők és lekérdezések használatával áttekintheti, hogy mi történik a környezetben:

    • Állítsa a szűrőt engedélyszintű magas súlyosságúra , a Közösségi használat pedig nem gyakori értékre. Ezzel a szűrővel a potenciálisan nagyon kockázatos alkalmazásokra összpontosíthat, ahol a felhasználók alábecsülhették a kockázatot.

    • Az Engedélyek területen válassza ki azokat a beállításokat, amelyek különösen kockázatosak egy adott környezetben. Kiválaszthatja például az összes olyan szűrőt, amely hozzáférést biztosít az e-mailekhez, például teljes hozzáférés az összes postaládához , majd áttekintheti az alkalmazások listáját, és meggyőződhet arról, hogy mindegyiknek valóban szüksége van levelezéshez kapcsolódó hozzáférésre. Ez segíthet egy adott környezetben megvizsgálni, és megkeresni azokat az alkalmazásokat, amelyek megbízhatónak tűnnek, de szükségtelen engedélyeket tartalmaznak. Ezek az alkalmazások nagyobb valószínűséggel kockázatosak.

      Az OAuth adathalászata kockázatos.

    • Válassza ki a külső felhasználók által engedélyezett mentett lekérdezési alkalmazásokat. Ezzel a szűrővel olyan alkalmazásokat találhat, amelyek nem feltétlenül igazodnak a vállalat biztonsági szabványaihoz.

  2. Az alkalmazások áttekintése után a megbízhatónak tűnő, de valójában kockázatosnak tűnő lekérdezésekben az alkalmazásokra összpontosíthat. A szűrőkkel keresse meg őket:

    • Szűrjön néhány felhasználó által engedélyezett alkalmazásokra. Ha ezekre az alkalmazásokra összpontosít, megkeresheti azokat a kockázatos alkalmazásokat, amelyeket egy feltört felhasználó engedélyezett.
    • Az alkalmazás céljának nem megfelelő engedélyekkel rendelkező alkalmazások, például egy óraalkalmazás, amely teljes hozzáféréssel rendelkezik az összes postaládához.

  3. Jelölje ki az egyes alkalmazásokat az alkalmazásfiók megnyitásához, és ellenőrizze, hogy az alkalmazásnak van-e gyanús neve, közzétevője vagy webhelye.

  4. Tekintse meg azoknak az alkalmazásoknak és célalkalmazásoknak a listáját, amelyeknek a legutóbbi engedélyezett dátuma nem friss. Előfordulhat, hogy ezekre az alkalmazásokra már nincs szükség.

    OAuth-alkalmazásfiók.

Gyanús OAuth-alkalmazások vizsgálata

Miután megállapította, hogy egy alkalmazás gyanús, és ki szeretné vizsgálni, a hatékony vizsgálathoz a következő fő alapelveket javasoljuk:

  • Minél gyakoribb és használt egy alkalmazás akár a szervezete, akár az interneten, annál valószínűbb, hogy biztonságos.
  • Az alkalmazások csak az alkalmazás céljához kapcsolódó engedélyeket igényelnek. Ha ez nem így van, az alkalmazás kockázatos lehet.
  • A magas szintű jogosultságokat vagy rendszergazdai hozzájárulást igénylő alkalmazások nagyobb valószínűséggel kockázatosak.
  1. Válassza ki az alkalmazást az alkalmazásfiók megnyitásához, és válassza a Kapcsolódó tevékenységek területen található hivatkozást. Ekkor megnyílik a Tevékenységnapló oldal, amely az alkalmazás által végrehajtott tevékenységekre szűrve jelenik meg. Ne feledje, hogy egyes alkalmazások olyan tevékenységeket végeznek, amelyeket egy felhasználó végzettként regisztrált. Ezek a tevékenységek automatikusan ki lesznek szűrve a tevékenységnapló eredményeiből. További vizsgálat a tevékenységnapló használatával: Tevékenységnapló.
  2. A fiókban válassza a Hozzájárulási tevékenységek lehetőséget az alkalmazáshoz adott felhasználói hozzájárulások vizsgálatához a tevékenységnaplóban.
  3. Ha egy alkalmazás gyanúsnak tűnik, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és közzétevőjét különböző alkalmazás-áruházakban. Koncentráljon a következő alkalmazásokra, amelyek gyanút kelthetnek:
    • Kevés letöltéssel rendelkező alkalmazások.
    • Alacsony értékeléssel, pontszámmal vagy rossz megjegyzésekkel rendelkező alkalmazások.
    • Gyanús közzétevővel vagy webhelypel rendelkező alkalmazások.
    • Azok az alkalmazások, amelyek legutóbbi frissítése nem friss. Ez olyan alkalmazást jelezhet, amely már nem támogatott.
    • Irreleváns engedélyekkel rendelkező alkalmazások. Ez azt jelezheti, hogy egy alkalmazás kockázatos.
  4. Ha az alkalmazás továbbra is gyanús, online kutathatja az alkalmazás nevét, közzétevőét és URL-címét.
  5. Az OAuth-alkalmazás auditálását exportálhatja az alkalmazást engedélyező felhasználók további elemzéséhez. További információ: OAuth-alkalmazások naplózása.

Gyanús OAuth-alkalmazások szervizelése

Miután megállapította, hogy egy OAuth-alkalmazás kockázatos, Defender for Cloud Apps a következő javítási lehetőségeket biztosítja:

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.