Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione dell'esposizione in Microsoft Security consente di gestire in modo efficace la superficie di attacco e il rischio di esposizione dell'azienda. Combinando asset e tecniche, i percorsi di attacco illustrano i percorsi end-to-end che gli utenti malintenzionati possono usare per passare da un punto di ingresso all'interno dell'organizzazione agli asset critici. Microsoft Defender for Cloud Apps osservato un aumento degli utenti malintenzionati che usano applicazioni OAuth per accedere ai dati sensibili in applicazioni business critical come Microsoft Teams, SharePoint, Outlook e altro ancora. Per supportare l'analisi e la mitigazione, queste applicazioni sono integrate nel percorso di attacco e nelle visualizzazioni della mappa della superficie di attacco in Gestione dell'esposizione in Microsoft Security.
Prerequisiti
Per iniziare a usare le funzionalità del percorso di attacco dell'applicazione OAuth in Gestione esposizione, assicurarsi di soddisfare i requisiti seguenti.
Una licenza Microsoft Defender for Cloud Apps con la governance delle app abilitata.
Il connettore di app Microsoft 365 deve essere attivato. Per informazioni sulla connessione e su quali dei connettori di app forniscono consigli sulla sicurezza, vedere Connettere le app per ottenere visibilità e controllo con Microsoft Defender for Cloud Apps.
Facoltativo: per ottenere l'accesso completo ai dati del percorso di attacco, è consigliabile avere una licenza di sicurezza E5, Defender per endpoint o Defender per identità.
Ruoli e autorizzazioni necessari
Per accedere a tutte le esperienze di Gestione esposizione, è necessario un ruolo Unified Role-Based-Access-Control (RBAC) o un ruolo Entra ID. Ne è richiesto solo uno.
- Gestione dell'esposizione (lettura) (controllo degli accessi in base al ruolo unificato)
In alternativa, è possibile usare uno dei ruoli di Entra ID seguenti:
| Autorizzazione | Azioni |
|---|---|
| Amministrazione globale | (autorizzazioni di lettura e scrittura) |
| Amministrazione di sicurezza | (autorizzazioni di lettura e scrittura) |
| Operatore della sicurezza | (autorizzazioni di lettura e scrittura limitate) |
| Lettore globale | (autorizzazioni di lettura) |
| Ruolo con autorizzazioni di lettura per la sicurezza | (autorizzazioni di lettura) |
Nota
Attualmente disponibile solo negli ambienti cloud commerciali. Gestione dell'esposizione in Microsoft Security dati e le funzionalità non sono attualmente disponibili nei cloud del governo degli Stati Uniti: GCC, GCC High, DoD e China Gov.
Gestione degli asset critici - Entità servizio
Microsoft Defender for Cloud Apps definisce un set di autorizzazioni OAuth con privilegi critici. Le applicazioni OAuth con queste autorizzazioni sono considerate asset di valore elevato. Se compromesso, un utente malintenzionato può ottenere privilegi elevati per le applicazioni SaaS. Per riflettere questo rischio, i percorsi di attacco trattano le entità servizio con queste autorizzazioni come obiettivi di destinazione.
Visualizzare le autorizzazioni per gli asset critici
Per visualizzare l'elenco completo delle autorizzazioni, passare al portale di Microsoft Defender e passare a Impostazioni > Microsoft Defender XDR > Regole Gestione > asset critici.
Flusso utente di indagine: visualizzare i percorsi di attacco che coinvolgono applicazioni OAuth
Dopo aver compreso quali autorizzazioni rappresentano destinazioni di valore elevato, seguire questa procedura per esaminare l'aspetto di queste applicazioni nei percorsi di attacco dell'ambiente. Per le organizzazioni più piccole con un numero gestibile di percorsi di attacco, è consigliabile seguire questo approccio strutturato per analizzare ogni percorso di attacco:
Nota
Le app OAuth vengono visualizzate nella mappa di superficie del percorso di attacco solo quando vengono rilevate condizioni specifiche.
Ad esempio, un'app OAuth potrebbe essere visualizzata nel percorso di attacco se viene rilevato un componente vulnerabile con un punto di ingresso facilmente sfruttabile. Questo punto di ingresso consente lo spostamento laterale alle entità servizio con privilegi elevati.
Passare a Percorsi di attacco della superficie > di attacco di Gestione > dell'esposizione.
Filtrare in base al tipo di destinazione: entità servizio AAD
Selezionare il percorso di attacco intitolato: "Il dispositivo con vulnerabilità con gravità elevata consente lo spostamento laterale all'entità servizio con autorizzazioni riservate"
Fare clic sul pulsante Visualizza nella mappa per visualizzare il percorso di attacco.
Selezionare il segno + per espandere i nodi e visualizzare connessioni dettagliate.
Passare il puntatore del mouse o selezionare nodi e bordi per esplorare dati aggiuntivi, ad esempio le autorizzazioni dell'app OAuth.
Copiare il nome dell'applicazione OAuth e incollarlo nella barra di ricerca nella pagina Applicazioni.
Selezionare il nome dell'app per esaminare le autorizzazioni assegnate e le informazioni dettagliate sull'utilizzo, incluso se le autorizzazioni con privilegi elevati vengono usate attivamente.
Facoltativo: se si determina che l'applicazione OAuth deve essere disabilitata, è possibile disabilitarla dalla pagina Applicazioni.
Flusso utente del decision maker: assegnare priorità al percorso di attacco usando i punti di soffocamento
Per le organizzazioni più grandi con numerosi percorsi di attacco che non possono essere analizzati manualmente, è consigliabile usare i dati del percorso di attacco e usare l'esperienza Choke Points come strumento di definizione delle priorità. Questo approccio consente di:
- Identificare gli asset connessi con la maggior parte dei percorsi di attacco.
- Prendere decisioni informate su quali asset assegnare priorità per l'indagine.
- Filtrare in base Microsoft Entra'app OAuth per visualizzare quali app OAuth sono coinvolte nella maggior parte dei percorsi di attacco.
- Decidere a quali applicazioni OAuth applicare le autorizzazioni con privilegi minimi.
Per iniziare:
Passare alla pagina Punti di soffocamento dei percorsi > di attacco.
Selezionare un nome di punto di arresto per visualizzare altri dettagli sui percorsi di attacco principali, ad esempio il nome, il punto di ingresso e la destinazione.
Fare clic su Visualizza raggio di esplosione per analizzare ulteriormente il punto di soffocamento nella mappa della superficie di attacco.
Se il punto di arresto è un'applicazione OAuth, continuare l'analisi nella pagina Applicazioni, come descritto nei passaggi da 7 a 9 precedenti.
Analizzare la mappa della superficie di attacco e cercare con le query
Nella mappa della superficie di attacco è possibile visualizzare le connessioni da app di proprietà dell'utente, app OAuth e entità servizio. Questi dati di relazione sono disponibili in:
Tabella ExposureGraphEdges (mostra le connessioni)
Tabella ExposureGraphNodes (include proprietà del nodo come autorizzazioni)
Usare la query di ricerca avanzata seguente per identificare tutte le applicazioni OAuth con autorizzazioni critiche:
let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
canAuthAs.EdgeLabel == "can authenticate as" and
SPN.NodeLabel == "serviceprincipal" and
SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
hasPermissionTo.EdgeLabel == @"has permissions to" and
Target.NodeLabel == "Microsoft Entra OAuth App" and
Target.NodeName == "Microsoft Graph"
project AppReg=AppRegistration.NodeLabel,
canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm
Passaggi successivi
Per ulteriori informazioni, vedere: