Tunnista ja korjaa laittomat suostumusavustukset

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Yhteenveto Opi tunnistamaan ja korjaamaan laiton suostumus myöntää hyökkäyksen Microsoft 365:ssä.

Mikä on laiton suostumusavustushyökkäys Microsoft 365:ssä?

Laittomassa suostumusavustushyökkäyksessä hyökkääjä luo Azureen rekisteröidyn sovelluksen, joka pyytää pääsyä tietoihin, kuten yhteystietoihin, sähköposteihin tai asiakirjoihin. Tämän jälkeen hyökkääjä huijaa loppukäyttäjän myöntämään kyseiselle sovellukselle luvan käyttää tietojaan joko tietojenkalasteluhyökkäyksen kautta tai lisäämällä laitonta koodia luotettuun verkkosivustoon. Kun laiton sovellus on myönnetty, sillä on tilitason käyttöoikeus tietoihin ilman organisaation tiliä. Tavalliset korjausvaiheet (esimerkiksi salasanojen palauttaminen tai monimenetelmäisen todentamisen (MFA) edellyttäminen eivät ole tehokkaita tämäntyyppistä hyökkäystä vastaan, koska nämä sovellukset ovat organisaation ulkopuolisia.

Nämä hyökkäykset käyttävät vuorovaikutusmallia, joka olettaa, että tietoja kutsuva entiteetti on automaatio eikä ihminen.

Tärkeää

Epäiletkö, että sinulla on ongelmia sovelluksen laittomien suostumusavustuksien kanssa juuri nyt? Microsoft Defender for Cloud Apps on työkaluja OAuth-sovellusten tunnistamiseen, tutkimiseen ja korjaamiseen. Tässä Defender for Cloud Apps artikkelissa on opetusohjelma, jossa kerrotaan, miten riskialttiita OAuth-sovelluksia voidaan tutkia. Voit myös määrittää OAuth-sovelluskäytännöt tutkiaksesi sovelluksen pyytämiä käyttöoikeuksia, jotka käyttäjät valtuuttavat näihin sovelluksiin, ja hyväksyä tai kieltää nämä käyttöoikeuspyynnöt laajasti tai kieltää ne.

Miltä laiton suostumuksen myöntämishyökkäys näyttää Microsoft 365:ssä?

Sinun on etsittävä valvontalokista merkkejä, joita kutsutaan myös tämän hyökkäyksen kompromissiindikaattoreiksi (IOC). Organisaatioissa, joissa on useita Azure-rekisteröityjä sovelluksia ja joilla on laaja käyttäjäkunta, paras käytäntö on tarkistaa organisaatiosi suostumusavustukset viikoittain.

Vaiheet tämän hyökkäyksen merkkien löytämiseksi

1. Avaa Microsoft Defender portaali osoitteessa https://security.microsoft.com ja valitse sitten Valvonta. Tai jos haluat siirtyä suoraan Valvonta-sivulle, käytä osoitetta https://security.microsoft.com/auditlogsearch.

2. Tarkista Valvonta-sivulla , että Haku-välilehti on valittuna, ja määritä sitten seuraavat asetukset:

   • Päivämäärä- ja aika-alue
   • Toiminnot: Varmista, että Näytä kaikkien toimintojen tulokset on valittuna.

   Kun olet valmis, valitse Hae.

3. Valitse Toiminta-sarake tulosten lajittelemiseksi ja etsi suostumus sovellukselle.

4. Valitse merkintä luettelosta nähdäksesi aktiviteetin tiedot. Tarkista, onko IsAdminConsent-asetuksena True.

Huomautus

Vastaavan valvontalokimerkinnän näyttäminen hakutuloksissa tapahtuman jälkeen voi kestää 30 minuutista 24 tuntiin.

Valvontatietueen säilytykseen ja hakuun valvontalokissa kuluva aika riippuu Microsoft 365 -tilauksestasi ja erityisesti tietylle käyttäjälle määritetyn käyttöoikeuden tyypistä. Lisätietoja on kohdassa Valvontaloki.

Arvo on tosi, mikä tarkoittaa sitä, että henkilö, jolla on yleisen järjestelmänvalvojan käyttöoikeus, on saattanut myöntää tietoihin laajan käyttöoikeuden. Jos tämä arvo on odottamaton, vahvista hyökkäys toimimalla.

Hyökkäyksen vahvistaminen

Jos sinulla on yksi tai useampi aiemmin luetelluista IOC-esiintymistä, sinun on tehtävä lisätutkimuksia vahvistaaksesi positiivisesti, että hyökkäys tapahtui. Voit vahvistaa hyökkäyksen käyttämällä mitä tahansa näistä kolmesta menetelmästä:

• Inventaariosovellukset ja niiden käyttöoikeudet Microsoft Entra -hallintakeskus avulla. Tämä menetelmä on perusteellinen, mutta voit tarkistaa vain yhden käyttäjän kerrallaan, mikä voi olla hyvin aikaa vievää, jos sinulla on useita käyttäjiä tarkistettavana.
• Inventaariosovellukset ja niiden käyttöoikeudet PowerShellin avulla. Tämä on nopein ja perusteellisin menetelmä, jossa on vähiten yleiskustannuksia.
• Pyydä käyttäjiä tarkistamaan sovelluksensa ja käyttöoikeutensa yksitellen ja ilmoittamaan tuloksista takaisin järjestelmänvalvojille korjausta varten.

Inventaariosovellukset, joilla on käyttöoikeus organisaatiossasi

Voit varastota sovelluksia käyttäjillesi seuraavilla vaihtoehdoilla:

• Microsoft Entra -hallintakeskus.
• PowerShell.
• Anna käyttäjien luetteloida omat sovelluksensa käyttöoikeudet.

Microsoft Entra -hallintakeskus käyttämisen vaiheet

Voit etsiä sovelluksia, joihin kuka tahansa yksittäinen käyttäjä on myöntänyt käyttöoikeudet, käyttämällä Microsoft Entra -hallintakeskus:

1. Avaa Microsoft Entra -hallintakeskus osoitteessa https://entra.microsoft.comja siirry sitten kohtaan Käyttäjätiedot>Käyttäjät>Kaikki käyttäjät. Jos haluat myös siirtyä suoraan kohtaan Käyttäjät>Kaikki käyttäjät, käytä -parametria https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
2. Etsi ja valitse käyttäjä, jonka haluat tarkastella, napsauttamalla Näyttönimi-arvoa .
3. Valitse avautuvalta käyttäjätietosivulta Sovellukset.

Näissä vaiheissa näytetään sovellukset, jotka on määritetty käyttäjälle, ja mitkä käyttöoikeudet sovelluksilla on.

Vaiheet, joiden avulla käyttäjät voivat luetteloida sovelluksensa käyttöoikeudet

Anna käyttäjien siirtyä sinne https://myapps.microsoft.com ja tarkistaa niiden käyttöoikeudet. Heidän pitäisi pystyä näkemään kaikki sovellukset, joilla on käyttöoikeus, tarkastelemaan niitä koskevia tietoja (mukaan lukien käyttöoikeuksien laajuus) ja peruuttamaan oikeudet epäilyttäviin tai laittomiin sovelluksiin.

PowerShellin vaiheet

Yksinkertaisin tapa varmistaa laittoman suostumuksen myöntämishyökkäys on suorittaa Get-AzureADPSPermissions.ps1, joka dumppaa kaikki OAuth-suostumusavustukset ja OAuth-sovellukset kaikille vuokraajasi käyttäjille yhteen .csv tiedostoon.

Ennakkovaatimukset

• Asennettu PowerShell Azure AD kirjasto.
• Yleisen järjestelmänvalvojan oikeudet organisaatiossa, jossa komentosarja suoritetaan.
• Paikallisen järjestelmänvalvojan oikeudet tietokoneessa, jossa komentosarjat suoritetaan.

Tärkeää

Suosittelemme erittäin , että edellytät monimenetelmäistä todentamista järjestelmänvalvojatililläsi. Tämä komentosarja tukee monimenetelmäistä todentamista.

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Huomautus

Azure AD Powershell aiotaan poistaa käytöstä 30.3.2024. Jos haluat lisätietoja, lue vanhentumispäivitys.

Suosittelemme, että siirryt Microsoft Graph PowerShelliin käsittelemään Microsoft Entra ID (aiemmin Azure AD). Microsoft Graph PowerShell sallii pääsyn kaikkiin Microsoft Graph -ohjelmointirajapintoihin, ja se on käytettävissä PowerShell 7:ssä. Vastauksia yleisiin siirtokyselyihin on kohdassa Siirron usein kysytyt kysymykset.

1. Kirjaudu tietokoneeseen, jossa haluat suorittaa komentosarjat paikallisen järjestelmänvalvojan oikeuksilla.

2. Lataa tai kopioi Get-AzureADPSPermissions.ps1 komentosarja GitHubista kansioon, joka on helppo löytää ja muistaa. Tässä kansiossa kirjoitetaan myös permissions.csv tulostetiedosto.

3. Avaa järjestelmänvalvojana laajennettu PowerShell-istunto kansioon, johon tallensit komentosarjan.

4. Muodosta yhteys hakemistoosi käyttämällä Connect-MgGraphin cmdlet-komentoa .

5. Suorita tämä PowerShell-komento:

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

Komentosarja tuottaa yhden tiedoston nimeltä Permissions.csv. Etsi laittomien sovellusten käyttöoikeusavustuksia seuraavasti:

1. Etsi ConsentType-sarakkeesta (sarake G) arvo "AllPrinciples". AllPrincipals-käyttöoikeuden avulla asiakassovellus voi käyttää vuokrasopimuksen kaikkien sisältöä. Alkuperäiset Microsoft 365 -sovellukset tarvitsevat tämän käyttöoikeuden toimiakseen oikein. Kaikki muut kuin Microsoft-sovellukset, joilla on tämä käyttöoikeus, on tarkistettava huolellisesti.

2. Tarkista Käyttöoikeus-sarakkeessa (sarake F) käyttöoikeudet, jotka kullakin delegoidulla sovelluksella on sisältöön. Etsi "Luku" ja "Kirjoitus" käyttöoikeus tai "Kaikki" -käyttöoikeus ja tarkista nämä oikeudet huolellisesti, koska ne eivät ehkä ole sopivia.

3. Tarkista tietyt käyttäjät, joille on myönnetty suostumus. Jos korkean profiilin tai suuren arvon käyttäjillä on epäasiallinen suostumus, tutki asiaa tarkemmin.

4. Etsi ClientDisplayName-sarakkeesta (sarake C) sovelluksia, jotka vaikuttavat epäilyttäviltä. Sovellukset, joissa on väärin kirjoitettuja nimiä, super-mauttomia nimiä tai hakkerin kuulostavia nimiä, on tarkistettava huolellisesti.

Määritä hyökkäyksen laajuus

Kun olet lopettanut sovelluksen käytön varastoinnin, tarkista valvontaloki ja selvitä tietomurron koko laajuus. Etsi asianomaisista käyttäjistä, aikarajat, jolloin laiton sovellus pääsi organisaatioosi, ja sovelluksen käyttöoikeudet. Voit tehdä hakuja valvontalokistaMicrosoft Defender portaalissa.

Tärkeää

Jotta saisit nämä tiedot, postilaatikoiden valvontaja toiminnan valvonta järjestelmänvalvojille ja käyttäjille on oltava käytössä ennen hyökkäystä.

Kuinka pysäyttää ja korjata laiton suostumus myöntää hyökkäys

Kun olet tunnistanut sovelluksen laittomilla käyttöoikeuksilla, sinulla on useita tapoja poistaa kyseinen käyttöoikeus:

• Voit kumota sovelluksen käyttöoikeuden Microsoft Entra -hallintakeskus toimimalla seuraavasti:

  1. Avaa Microsoft Entra -hallintakeskus osoitteessa https://entra.microsoft.comja siirry sitten kohtaan Käyttäjätiedot>Käyttäjät>Kaikki käyttäjät. Jos haluat myös siirtyä suoraan kohtaan Käyttäjät>Kaikki käyttäjät, käytä -parametria https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Etsi ja valitse käyttäjä, jota asia koskee, napsauttamalla Näyttönimi-arvoa .
  3. Valitse avautuvalta käyttäjätietosivulta Sovellukset.
  4. Valitse Sovellukset-sivulla laiton sovellus napsauttamalla Nimi-arvoa .
  5. Valitse avautuvalta Varauksen tiedot -sivulta Poista.

• Voit kumota OAuth-suostumuksen myöntämisen PowerShellillä noudattamalla ohjeita kohdassa Remove-MgOauth2PermissionGrant

• Voit kumota palvelusovelluksen roolimäärityksen PowerShellin avulla noudattamalla kohdassa Remove-MgServicePrincipalAppRoleAssignment olevia ohjeita.

• Voit poistaa sisäänkirjautumisen käytöstä kyseiseltä tililtä, mikä estää sovelluksen pääsyn tilin tietoihin. Tämä toiminto ei ole ihanteellinen käyttäjien tuottavuuden kannalta, mutta se voi olla lyhyen aikavälin korjaus, jolla rajoitetaan nopeasti hyökkäyksen tuloksia.

• Voit poistaa käytöstä integroidut sovellukset organisaatiossasi. Tämä on rajua. Vaikka se estää käyttäjiä myöntämästä vahingossa käyttöoikeutta haitallisiin sovelluksiin, se myös estää kaikkia käyttäjiä myöntämästä suostumusta sovelluksille. Emme suosittele tätä toimintoa, koska se heikentää huomattavasti käyttäjien tuottavuutta kolmannen osapuolen sovellusten kanssa. Voit poistaa integroidut sovellukset käytöstä noudattamalla ohjeita kohdassa Integroitujen sovellusten ottaminen käyttöön tai poistaminen käytöstä.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Yrityssovelluksissa luetellut sovellukset opasttavat järjestelmänvalvojia erilaisissa toiminnoissa, joita he saattavat haluta suorittaa tajuttuaan, että on olemassa odottamattomia sovelluksia, joilla on tietojen käyttöoikeus.
• Pikaopas: Sovelluksen rekisteröinti Microsoftin käyttäjätietoympäristö on korkean tason yleiskatsaus suostumuksesta ja käyttöoikeuksista.
• Tunnuksen elinkaarikäytäntöjen määrittäminen sisältää linkkejä erilaisiin suostumukseen liittyviin artikkeleihin.
• Microsoft Entra ID sovelluksen ja palvelun päänimen objektit sisältävät yleiskatsauksen sovellusmallin keskeisistä sovelluksen ja palvelun päänimen objekteista.
• Sovelluksen käyttöoikeuksien hallinta on yleiskatsaus ominaisuuksista, joita järjestelmänvalvojien on hallittava sovellusten käyttöoikeuksia.