Investigación y corrección de aplicaciones de OAuth de riesgo

Nota:

Microsoft Defender para aplicaciones en la nube ahora forma parte de Microsoft 365 Defender, que correlaciona las señales de todo el conjunto de Microsoft Defender y proporciona funcionalidades de detección, investigación y respuesta de nivel de incidente. Para obtener más información, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Nota:

Pruebe el nuevo complemento de gobernanza de aplicaciones a Microsoft Defender for Cloud Apps para obtener una protección más profunda, información de uso de aplicaciones, gobernanza y funcionalidades de corrección para las aplicaciones que acceden directamente a los datos del cliente de la aplicación M365. Para obtener más información, consulte Complemento de gobernanza de aplicaciones a Microsoft Defender for Cloud Apps (en versión preliminar).

Obtenga información sobre la idoneidad del cliente y regístrese para obtener una evaluación gratuita aquí.

OAuth es un estándar abierto para autenticación y autorización basadas en tokens. OAuth permite que la información de la cuenta de un usuario sea utilizada por servicios de terceros, sin exponer la contraseña del usuario. OAuth actúa como un intermediario en nombre del usuario, proporcionando al servicio un token de acceso que autoriza el uso compartido de información específica de la cuenta.

Por ejemplo, una aplicación que analiza el calendario del usuario y proporciona consejos sobre cómo ser más productivos, necesita acceso al calendario del usuario. En lugar de proporcionar las credenciales del usuario, OAuth permite que la aplicación obtenga acceso a los datos basándose solo en un token, que se genera cuando el usuario proporciona consentimiento a una página como se puede ver en la imagen siguiente.

Muchas aplicaciones de terceros que puedan instalar los usuarios profesionales de su organización solicitan permiso para acceder a datos e información de usuario e iniciar sesión en nombre del usuario en otras aplicaciones de nube. Cuando los usuarios instalan estas aplicaciones, a menudo hacen clic en Aceptar sin revisar detenidamente los detalles en el mensaje, incluyendo la concesión de permisos a la aplicación. Aceptar permisos de aplicación de terceros es un riesgo de seguridad potencial para su organización.

Por ejemplo, la siguiente página de consentimiento de la aplicación OAuth podría parecer legítima para el usuario medio, pero "Explorador de API de Google" no debe necesitar solicitar permisos de Google. Por lo tanto, esto indica que la aplicación podría ser un intento de suplantación de identidad (phishing), no relacionado con Google en absoluto.

Como administrador de seguridad, necesita visibilidad y control sobre las aplicaciones de su entorno e incluye los permisos que tienen. Necesita la capacidad de evitar el uso de aplicaciones que requieren permiso para los recursos que desea revocar. Por lo tanto, Microsoft Defender for Cloud Apps le proporciona la capacidad de investigar y supervisar los permisos de aplicación concedidos a los usuarios. Este artículo pretende ayudarle a investigar las aplicaciones de OAuth de su organización y se centra en las aplicaciones que tienen más probabilidades de ser sospechosas.

Nuestro enfoque recomendado es investigar las aplicaciones mediante las capacidades y la información proporcionadas en el portal de Defender for Cloud Apps para filtrar las aplicaciones con una probabilidad baja de riesgo y centrarse en las aplicaciones sospechosas.

En este tutorial, aprenderá a:

• Detección de aplicaciones de OAuth de riesgo
• Tutorial: Investigación de aplicaciones de OAuth de riesgo
• Corrección de aplicaciones de OAuth de riesgo

Detección de aplicaciones de OAuth de riesgo

La detección de una aplicación de OAuth de riesgo se puede realizar mediante:

• Alertas: reaccione a una alerta desencadenada por una directiva existente.
• Búsqueda: busque una aplicación de riesgo entre todas las aplicaciones disponibles, sin sospecha concreta de riesgo.

Detección de aplicaciones de riesgo mediante alertas

Puede establecer directivas para enviar automáticamente notificaciones cuando una aplicación de OAuth cumple ciertos criterios. Por ejemplo, puede establecer una directiva para notificarle automáticamente cuando se detecta una aplicación que requiere permisos elevados y que ha sido autorizado por más de 50 usuarios. Para obtener más información sobre cómo crear directivas de OAuth, consulte Directivas de aplicación de OAuth.

Detección de aplicaciones de riesgo mediante la búsqueda

1. En el portal de Microsoft 365 Defender, en Aplicaciones en la nube, vaya a Aplicaciones de OAuth. Use los filtros y las consultas para revisar lo que sucede en su entorno:

   • Establezca el filtro en Nivel de permiso de gravedad alta y Uso de comunidad no común. Con este filtro, puede centrarse en las aplicaciones potencialmente muy arriesgadas, donde los usuarios pueden haber subestimado el riesgo.

   • En Permisos , seleccione todas las opciones que son especialmente arriesgadas en un contexto específico. Por ejemplo, puede seleccionar todos los filtros que proporcionan permiso para el acceso al correo electrónico, como Acceso total a todos los buzones y, a continuación, revisar la lista de aplicaciones para asegurarse de que todos realmente necesitan acceso relacionado con el correo. Esto puede ayudarle a investigar dentro de un contexto específico y buscar aplicaciones que parecen legítimas, pero que contienen permisos innecesarios. Es más probable que estas aplicaciones sean arriesgadas.

     

   • Seleccione las aplicaciones de consulta guardadas autorizadas por los usuarios externos. Con este filtro, puede encontrar aplicaciones que podrían no estar alineadas con los estándares de seguridad de su empresa.

2. Después de revisar las aplicaciones, puede centrarse en las aplicaciones de las consultas que parecen legítimas, pero que podrían ser realmente arriesgadas. Use los filtros para encontrarlos:

   • Filtre por las aplicaciones autorizadas por un pequeño número de usuarios. Si se centra en estas aplicaciones, puede buscar las aplicaciones riesgosas que fueron autorizadas por un usuario en peligro.
   • Aplicaciones que tienen permisos que no coinciden con el propósito de la aplicación, por ejemplo, una aplicación de reloj con acceso completo a todos los buzones.

3. Seleccione cada aplicación para abrir el cajón de la aplicación y compruebe si la aplicación tiene un nombre sospechoso, publicador o sitio web.

4. Vea la lista de aplicaciones y céntrese en las que tengan una fecha de Última autorización que no sea reciente. Puede que estas aplicaciones ya no sean necesarias.

   

Cómo investigar aplicaciones de OAuth sospechosas

Después de determinar que una aplicación es sospechosa y desea investigarla, se recomiendan los siguientes principios clave para una investigación eficaz:

• Cuanto más común y usado sea una aplicación, ya sea por su organización o en línea, más probable es que sea segura.
• Una aplicación solo debe requerir permisos relacionados con el propósito de la aplicación. Si no es así, es posible que la aplicación sea arriesgada.
• Es más probable que las aplicaciones que requieran privilegios elevados o consentimiento del administrador sean arriesgadas.

1. Seleccione la aplicación para abrir el cajón de la aplicación y seleccione el vínculo en Actividades relacionadas. Se abrirá la página Registro de actividad filtrada según las actividades que realiza la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades que se registran como si las hubiera hecho un usuario. Estas actividades se filtran automáticamente fuera de los resultados del registro de actividad. Para realizar una investigación más detallada con el registro de actividad, consulte Registro de actividad.
2. En el cajón, seleccione Actividades de consentimiento para investigar los consentimientos del usuario en la aplicación en el registro de actividad.
3. Si una aplicación parece sospechosa, se recomienda investigar el nombre y el publicador de la aplicación en diferentes tiendas de aplicaciones. Céntrese en las siguientes aplicaciones, lo que podría ser sospecha:
   • Aplicaciones con un número reducido de descargas.
   • Aplicaciones con una puntuación o clasificación baja o comentarios malos.
   • Aplicaciones con un editor o sitio web sospechoso.
   • Aplicaciones cuya última actualización no es reciente. Esto puede indicar que una aplicación ya no se admite.
   • Aplicaciones con permisos irrelevantes. Esto podría indicar que una aplicación es riesgosa.
4. Si la aplicación sigue siendo sospechosa, puede investigar la dirección URL, el editor y el nombre de la aplicación en línea.
5. Puede exportar la auditoría de la aplicación OAuth para realizar un análisis posterior de los usuarios que han autorizado una aplicación. Para obtener más información, consulte Auditoría de aplicaciones de OAuth.

Corrección de aplicaciones de OAuth sospechosas

Después de determinar que una aplicación de OAuth es arriesgada, Defender for Cloud Apps proporciona las siguientes opciones de corrección:

• Corrección manual: puede prohibir fácilmente la revocación de una aplicación desde la página aplicaciones de OAuth.

• Corrección automática: puede crear una directiva que revoque automáticamente una aplicación o revoque a un usuario específico de una aplicación.

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tiene algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.