Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
OAuth — это открытый стандарт аутентификации и авторизации на основе токенов. OAuth позволяет использовать сведения об учетной записи пользователя сторонними службами без предоставления пароля пользователя. OAuth выступает в качестве посредника от имени пользователя, предоставляя службе маркер доступа, который разрешает предоставлять доступ к определенным сведениям об учетной записи.
Например, приложению, которое анализирует календарь пользователя и дает советы по повышению производительности, требуется доступ к календарю пользователя. Вместо предоставления учетных данных пользователя OAuth позволяет приложению получать доступ к данным только на основе маркера, который создается, когда пользователь предоставляет согласие на страницу, как показано на рисунке ниже.
Многие сторонние приложения, которые могут быть установлены бизнес-пользователями в вашей организации, запрашивают разрешение на доступ к сведениям и данным пользователей, а также на вход от имени пользователя в других облачных приложениях. Когда пользователи устанавливают эти приложения, они часто нажимают кнопку Принять , не внимательно просматривая сведения в запросе, включая предоставление разрешений приложению. Принятие разрешений сторонних приложений представляет собой потенциальную угрозу безопасности для вашей организации.
Например, следующая страница запроса согласия для OAuth-приложения может показаться правдоподобной рядовому пользователю, однако «Google APIs Explorer» не должен запрашивать разрешения у самого Google. Таким образом, это означает, что приложение может быть попыткой фишинга, не связанной с Google.
Администратору безопасности требуется видимость и контроль над приложениями в вашей среде, включая имеющиеся у них разрешения. Вам нужна возможность запретить использование приложений, которым требуется разрешение на ресурсы, которые вы хотите отозвать. Таким образом, Microsoft Defender for Cloud Apps предоставляет возможность исследовать и отслеживать разрешения приложения, предоставленные пользователями. Эта статья посвящена тому, чтобы помочь вам исследовать приложения OAuth в организации и сосредоточиться на приложениях, которые, скорее всего, будут подозрительными.
Наш рекомендуемый подход заключается в том, чтобы исследовать приложения с помощью возможностей и информации, предоставляемых в Defender for Cloud Apps, чтобы отфильтровать приложения с низкой вероятностью риска и сосредоточиться на подозрительных приложениях.
С помощью данного руководства вы изучите:
Примечание.
В этой статье используются примеры и снимки экрана со страницы приложений OAuth , которая используется, если управление приложениями не включено.
Если вы используете предварительные версии функций и включено управление приложениями, то те же функции доступны на странице управления приложениями .
Дополнительные сведения см. в разделе Управление приложениями в Microsoft Defender for Cloud Apps.
Обнаружение рискованных приложений OAuth
Обнаружение опасного приложения OAuth можно выполнить с помощью:
- Оповещения: Реагируйте на оповещение, вызванное существующей политикой.
- Поиск: поиск потенциально опасного приложения среди всех доступных приложений при отсутствии конкретных подозрений.
Обнаружение рискованных приложений с помощью оповещений
Вы можете настроить политики для автоматической отправки уведомлений, если приложение OAuth соответствует определенным критериям. Например, можно настроить политику для автоматического уведомления о обнаружении приложения, требующего высоких разрешений и авторизованного более чем 50 пользователями. Дополнительные сведения о создании политик OAuth см. в разделе Политики приложений OAuth.
Обнаружение рискованных приложений путем охоты
На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Приложения OAuth. Используйте фильтры и запросы, чтобы проверить, что происходит в вашей среде:
Установите для фильтра значение «Высокая степень серьезности для уровня разрешений» и значение «Нераспространенное использование сообществом». Используя этот фильтр, вы можете сосредоточиться на приложениях, которые потенциально очень рискованны, где пользователи могут недооценивать риск.
В разделе Разрешения выберите все параметры, которые являются особенно рискованными в определенном контексте. Например, можно выбрать все фильтры, предоставляющие разрешение на доступ по электронной почте, например Полный доступ ко всем почтовым ящикам , а затем просмотреть список приложений, чтобы убедиться, что всем им действительно нужен доступ, связанный с почтой. Это поможет вам исследовать в определенном контексте и найти приложения, которые кажутся допустимыми, но содержат ненужные разрешения. Эти приложения, скорее всего, будут рискованными.
Выберите сохраненный запрос Приложения, авторизованные внешними пользователями. С помощью этого фильтра можно найти приложения, которые могут не соответствовать стандартам безопасности вашей компании.
После просмотра приложений вы можете сосредоточиться на приложениях в запросах, которые кажутся допустимыми, но на самом деле могут быть рискованными. Используйте фильтры, чтобы найти их:
- Фильтр приложений, авторизованных небольшим числом пользователей. Если вы сосредоточитесь на этих приложениях, вы можете найти рискованные приложения, которые были авторизованы скомпрометируемым пользователем.
- Приложения с разрешениями, которые не соответствуют назначению приложения, например приложение с часами с полным доступом ко всем почтовым ящикам.
Выберите каждое приложение, чтобы открыть список приложений, и проверьте, нет ли у приложения подозрительного названия, разработчика или веб-сайта.
Просмотрите список приложений и приложений назначения, у которых под Последняя авторизация указана дата, которая не является недавней. Эти приложения больше не требуются.
Как исследовать подозрительные приложения OAuth
После того как вы определите, что приложение является подозрительным и хотите изучить его, мы рекомендуем следующие ключевые принципы для эффективного исследования:
- Чем чаще и чаще используется приложение вашей организацией или в Интернете, тем больше вероятность того, что оно будет безопасным.
- Приложению должны требоваться только разрешения, связанные с назначением приложения. Если это не так, приложение может быть рискованным.
- Приложения, которым требуются высокие привилегии или согласие администратора, скорее всего, будут рискованными.
- Выберите приложение, чтобы открыть панель приложений, и щелкните ссылку в разделе Связанные действия. Откроется страница журнала действий, отфильтрованной по действиям, выполняемым приложением. Помните, что некоторые приложения выполняют действия, зарегистрированные как выполненные пользователем. Эти действия автоматически отфильтровываются по результатам в журнале действий. Дополнительные сведения о журнале действий см. в разделе Журнал действий.
- На панели выберите Действия, связанные с согласием, чтобы изучить согласия пользователей на доступ приложения в журнале действий.
- Если приложение кажется подозрительным, рекомендуется изучить имя и издателя приложения в разных магазинах приложений. Сосредоточьтесь на следующих приложениях, которые могут быть подозрительными:
- Приложения с небольшим количеством скачиваний.
- Приложения с низкой оценкой или плохими комментариями.
- Приложения с подозрительным издателем или веб-сайтом.
- Приложения, последнее обновление которых не является последним. Это может указывать на приложение, которое больше не поддерживается.
- Приложения с нерелевантными разрешениями. Это может означать, что приложение является рискованным.
- Если приложение по-прежнему является подозрительным, вы можете просмотреть имя приложения, издателя и URL-адрес в Интернете.
- Вы можете экспортировать журнал аудита OAuth-приложения для дальнейшего анализа пользователей, которые авторизовали приложение. Дополнительные сведения см. в статье Аудит приложений OAuth.
Как устранить угрозы, связанные с подозрительными приложениями OAuth
После того как вы определите, что приложение OAuth является рискованным, Defender for Cloud Apps предоставляет следующие варианты исправления:
Устранение вручную: Вы можете легко отозвать приложение на странице приложений OAuth
Автоматическое исправление. Вы можете создать политику, которая автоматически отменяет действие приложения или отзывает конкретного пользователя из приложения.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.