Исследование и устранение рискованных приложений OAuth

OAuth — это открытый стандарт аутентификации и авторизации на основе токенов. OAuth позволяет использовать сведения об учетной записи пользователя сторонними службами без предоставления пароля пользователя. OAuth выступает в качестве посредника от имени пользователя, предоставляя службе маркер доступа, который разрешает предоставлять доступ к определенным сведениям об учетной записи.

Например, приложению, которое анализирует календарь пользователя и дает советы по повышению производительности, требуется доступ к календарю пользователя. Вместо предоставления учетных данных пользователя OAuth позволяет приложению получать доступ к данным только на основе маркера, который создается, когда пользователь предоставляет согласие на страницу, как показано на рисунке ниже.

Разрешение приложения OAuth.

Многие сторонние приложения, которые могут быть установлены бизнес-пользователями в вашей организации, запрашивают разрешение на доступ к сведениям и данным пользователей, а также на вход от имени пользователя в других облачных приложениях. Когда пользователи устанавливают эти приложения, они часто нажимают кнопку Принять , не внимательно просматривая сведения в запросе, включая предоставление разрешений приложению. Принятие разрешений сторонних приложений представляет собой потенциальную угрозу безопасности для вашей организации.

Например, следующая страница запроса согласия для OAuth-приложения может показаться правдоподобной рядовому пользователю, однако «Google APIs Explorer» не должен запрашивать разрешения у самого Google. Таким образом, это означает, что приложение может быть попыткой фишинга, не связанной с Google.

OAuth-фишинг Google.

Администратору безопасности требуется видимость и контроль над приложениями в вашей среде, включая имеющиеся у них разрешения. Вам нужна возможность запретить использование приложений, которым требуется разрешение на ресурсы, которые вы хотите отозвать. Таким образом, Microsoft Defender for Cloud Apps предоставляет возможность исследовать и отслеживать разрешения приложения, предоставленные пользователями. Эта статья посвящена тому, чтобы помочь вам исследовать приложения OAuth в организации и сосредоточиться на приложениях, которые, скорее всего, будут подозрительными.

Наш рекомендуемый подход заключается в том, чтобы исследовать приложения с помощью возможностей и информации, предоставляемых в Defender for Cloud Apps, чтобы отфильтровать приложения с низкой вероятностью риска и сосредоточиться на подозрительных приложениях.

С помощью данного руководства вы изучите:

Примечание.

В этой статье используются примеры и снимки экрана со страницы приложений OAuth , которая используется, если управление приложениями не включено.

Если вы используете предварительные версии функций и включено управление приложениями, то те же функции доступны на странице управления приложениями .

Дополнительные сведения см. в разделе Управление приложениями в Microsoft Defender for Cloud Apps.

Обнаружение рискованных приложений OAuth

Обнаружение опасного приложения OAuth можно выполнить с помощью:

  • Оповещения: Реагируйте на оповещение, вызванное существующей политикой.
  • Поиск: поиск потенциально опасного приложения среди всех доступных приложений при отсутствии конкретных подозрений.

Обнаружение рискованных приложений с помощью оповещений

Вы можете настроить политики для автоматической отправки уведомлений, если приложение OAuth соответствует определенным критериям. Например, можно настроить политику для автоматического уведомления о обнаружении приложения, требующего высоких разрешений и авторизованного более чем 50 пользователями. Дополнительные сведения о создании политик OAuth см. в разделе Политики приложений OAuth.

Обнаружение рискованных приложений путем охоты

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Приложения OAuth. Используйте фильтры и запросы, чтобы проверить, что происходит в вашей среде:

    • Установите для фильтра значение «Высокая степень серьезности для уровня разрешений» и значение «Нераспространенное использование сообществом». Используя этот фильтр, вы можете сосредоточиться на приложениях, которые потенциально очень рискованны, где пользователи могут недооценивать риск.

    • В разделе Разрешения выберите все параметры, которые являются особенно рискованными в определенном контексте. Например, можно выбрать все фильтры, предоставляющие разрешение на доступ по электронной почте, например Полный доступ ко всем почтовым ящикам , а затем просмотреть список приложений, чтобы убедиться, что всем им действительно нужен доступ, связанный с почтой. Это поможет вам исследовать в определенном контексте и найти приложения, которые кажутся допустимыми, но содержат ненужные разрешения. Эти приложения, скорее всего, будут рискованными.

      Фишинг OAuth рискованно.

    • Выберите сохраненный запрос Приложения, авторизованные внешними пользователями. С помощью этого фильтра можно найти приложения, которые могут не соответствовать стандартам безопасности вашей компании.

  2. После просмотра приложений вы можете сосредоточиться на приложениях в запросах, которые кажутся допустимыми, но на самом деле могут быть рискованными. Используйте фильтры, чтобы найти их:

    • Фильтр приложений, авторизованных небольшим числом пользователей. Если вы сосредоточитесь на этих приложениях, вы можете найти рискованные приложения, которые были авторизованы скомпрометируемым пользователем.
    • Приложения с разрешениями, которые не соответствуют назначению приложения, например приложение с часами с полным доступом ко всем почтовым ящикам.
  3. Выберите каждое приложение, чтобы открыть список приложений, и проверьте, нет ли у приложения подозрительного названия, разработчика или веб-сайта.

  4. Просмотрите список приложений и приложений назначения, у которых под Последняя авторизация указана дата, которая не является недавней. Эти приложения больше не требуются.

    Меню приложений OAuth.

Как исследовать подозрительные приложения OAuth

После того как вы определите, что приложение является подозрительным и хотите изучить его, мы рекомендуем следующие ключевые принципы для эффективного исследования:

  • Чем чаще и чаще используется приложение вашей организацией или в Интернете, тем больше вероятность того, что оно будет безопасным.
  • Приложению должны требоваться только разрешения, связанные с назначением приложения. Если это не так, приложение может быть рискованным.
  • Приложения, которым требуются высокие привилегии или согласие администратора, скорее всего, будут рискованными.
  1. Выберите приложение, чтобы открыть панель приложений, и щелкните ссылку в разделе Связанные действия. Откроется страница журнала действий, отфильтрованной по действиям, выполняемым приложением. Помните, что некоторые приложения выполняют действия, зарегистрированные как выполненные пользователем. Эти действия автоматически отфильтровываются по результатам в журнале действий. Дополнительные сведения о журнале действий см. в разделе Журнал действий.
  2. На панели выберите Действия, связанные с согласием, чтобы изучить согласия пользователей на доступ приложения в журнале действий.
  3. Если приложение кажется подозрительным, рекомендуется изучить имя и издателя приложения в разных магазинах приложений. Сосредоточьтесь на следующих приложениях, которые могут быть подозрительными:
    • Приложения с небольшим количеством скачиваний.
    • Приложения с низкой оценкой или плохими комментариями.
    • Приложения с подозрительным издателем или веб-сайтом.
    • Приложения, последнее обновление которых не является последним. Это может указывать на приложение, которое больше не поддерживается.
    • Приложения с нерелевантными разрешениями. Это может означать, что приложение является рискованным.
  4. Если приложение по-прежнему является подозрительным, вы можете просмотреть имя приложения, издателя и URL-адрес в Интернете.
  5. Вы можете экспортировать журнал аудита OAuth-приложения для дальнейшего анализа пользователей, которые авторизовали приложение. Дополнительные сведения см. в статье Аудит приложений OAuth.

Как устранить угрозы, связанные с подозрительными приложениями OAuth

После того как вы определите, что приложение OAuth является рискованным, Defender for Cloud Apps предоставляет следующие варианты исправления:

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.