Examiner et corriger les applications OAuth à risque

OAuth est un standard ouvert pour l’authentification et l’autorisation basées sur les jetons. OAuth permet aux informations de compte d’un utilisateur d’être utilisées par des services tiers, sans exposer le mot de passe de l’utilisateur. OAuth agit en tant qu’intermédiaire pour le compte de l’utilisateur, en fournissant au service un jeton d’accès qui autorise le partage d’informations de compte spécifiques.

Par exemple, une application qui analyse le calendrier de l’utilisateur et donne des conseils sur la façon de devenir plus productive a besoin d’accéder au calendrier de l’utilisateur. Au lieu de fournir les informations d’identification de l’utilisateur, OAuth permet à l’application d’accéder aux données uniquement sur la base d’un jeton, qui est généré lorsque l’utilisateur donne son consentement à une page, comme illustré dans l’image ci-dessous.

De nombreuses applications tierces qui peuvent être installées par des utilisateurs professionnels dans votre organization, demandent l’autorisation d’accéder aux informations et données utilisateur et se connectent au nom de l’utilisateur dans d’autres applications cloud. Lorsque les utilisateurs installent ces applications, ils cliquent souvent sur Accepter sans examiner attentivement les détails de l’invite, notamment en accordant des autorisations à l’application. Accepter des autorisations d’application tierces constitue un risque potentiel pour la sécurité de votre organization.

Par exemple, la page de consentement de l’application OAuth suivante peut sembler légitime pour l’utilisateur moyen. Toutefois, les « API Google Explorer » ne doivent pas avoir besoin de demander des autorisations à Google lui-même. Cela indique donc que l’application peut être une tentative d’hameçonnage, qui n’est pas du tout liée à Google.

En tant qu’administrateur de sécurité, vous avez besoin d’une visibilité et d’un contrôle sur les applications de votre environnement, ce qui inclut les autorisations dont elles disposent. Vous devez pouvoir empêcher l’utilisation des applications qui nécessitent l’autorisation d’accéder aux ressources que vous souhaitez révoquer. Par conséquent, Microsoft Defender for Cloud Apps vous permet d’examiner et de surveiller les autorisations d’application accordées par vos utilisateurs. Cet article vous aide à examiner les applications OAuth dans votre organization et à vous concentrer sur les applications les plus susceptibles d’être suspectes.

Notre approche recommandée consiste à examiner les applications en utilisant les capacités et les informations fournies dans Defender for Cloud Apps pour filtrer les applications présentant un risque faible et se concentrer sur les applications suspectes.

Dans ce tutoriel, vous apprendrez comment le faire :

• Détecter les applications OAuth à risque
• Examiner les applications OAuth à risque
• Corriger les applications OAuth à risque

Remarque

Cet article utilise des exemples et des captures d’écran de la page des applications OAuth , qui est utilisée lorsque la gouvernance des applications n’est pas activée.

Si vous utilisez des fonctionnalités en préversion et que la gouvernance des applications est activée, la même fonctionnalité est disponible à partir de la page Gouvernance des applications à la place.

Pour plus d’informations, consultez Gouvernance des applications dans Microsoft Defender for Cloud Apps.

Comment détecter les applications OAuth à risque

La détection d’une application OAuth à risque peut être effectuée à l’aide de :

• Alertes : React à une alerte déclenchée par une stratégie existante.
• Chasse : recherchez une application à risque parmi toutes les applications disponibles, sans suspicion concrète d’un risque.

Détecter les applications à risque à l’aide d’alertes

Vous pouvez définir des stratégies pour vous envoyer automatiquement des notifications lorsqu’une application OAuth répond à certains critères. Par exemple, vous pouvez définir une stratégie pour vous avertir automatiquement lorsqu’une application qui nécessite des autorisations élevées et qui a été autorisée par plus de 50 utilisateurs est détectée. Pour plus d’informations sur la création de stratégies OAuth, consultez Stratégies d’application OAuth.

Détecter les applications à risque en chassant

1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Applications OAuth. Utilisez les filtres et les requêtes pour examiner ce qui se passe dans votre environnement :

   • Définissez le filtre sur Niveau d’autorisation niveau de gravité élevé et l’utilisation de la communauté n’est pas courante. À l’aide de ce filtre, vous pouvez vous concentrer sur les applications potentiellement très risquées, où les utilisateurs ont peut-être sous-estimé le risque.

   • Sous Autorisations , sélectionnez toutes les options qui sont particulièrement risquées dans un contexte spécifique. Par exemple, vous pouvez sélectionner tous les filtres qui fournissent l’autorisation d’accès aux e-mails, par exemple Accès complet à toutes les boîtes aux lettres , puis passer en revue la liste des applications pour vous assurer qu’elles ont tous vraiment besoin d’un accès lié à la messagerie. Cela peut vous aider à examiner dans un contexte spécifique et à trouver des applications qui semblent légitimes, mais qui contiennent des autorisations inutiles. Ces applications sont plus susceptibles d’être risquées.

     

   • Sélectionnez la requête enregistrée Applications autorisées par des utilisateurs externes. À l’aide de ce filtre, vous pouvez rechercher des applications qui peuvent ne pas être alignées sur les normes de sécurité de votre entreprise.

2. Après avoir examiné vos applications, vous pouvez vous concentrer sur les applications dans les requêtes qui semblent légitimes, mais qui peuvent en fait être risquées. Utilisez les filtres pour les rechercher :

   • Filtrez les applications autorisées par un petit nombre d’utilisateurs. Si vous vous concentrez sur ces applications, vous pouvez rechercher des applications à risque qui ont été autorisées par un utilisateur compromis.
   • Applications qui disposent d’autorisations qui ne correspondent pas à l’objectif de l’application, par exemple, une application d’horloge avec un accès complet à toutes les boîtes aux lettres.

3. Sélectionnez chaque application pour ouvrir le tiroir de l’application et case activée pour voir si l’application a un nom, un éditeur ou un site web suspects.

4. Examinez la liste des applications et des applications cibles dont la date sous Dernière autorisation n’est pas récente. Ces applications peuvent ne plus être nécessaires.

   

Comment examiner les applications OAuth suspectes

Une fois que vous avez déterminé qu’une application est suspecte et que vous souhaitez l’examiner, nous vous recommandons les principes clés suivants pour une investigation efficace :

• Plus une application est courante et utilisée par votre organization ou en ligne, plus elle est susceptible d’être sécurisée.
• Une application doit nécessiter uniquement des autorisations liées à l’objectif de l’application. Si ce n’est pas le cas, l’application peut être risquée.
• Les applications qui nécessitent des privilèges élevés ou un consentement administrateur sont plus susceptibles d’être risquées.

1. Sélectionnez l’application pour ouvrir le tiroir de l’application, puis sélectionnez le lien sous Activités associées. Cela ouvre la page Journal d’activité filtrée pour les activités effectuées par l’application. Gardez à l’esprit que certaines applications effectuent des activités inscrites comme ayant été effectuées par un utilisateur. Ces activités sont automatiquement filtrées en dehors des résultats dans le journal d’activité. Pour plus d’informations sur l’utilisation du journal d’activité, consultez Journal d’activité.
2. Dans le tiroir, sélectionnez Activités de consentement pour examiner les consentements de l’utilisateur à l’application dans le journal d’activité.
3. Si une application semble suspecte, nous vous recommandons d’examiner le nom et l’éditeur de l’application dans différents magasins d’applications. Concentrez-vous sur les applications suivantes, qui peuvent être des suspicions :
   • Applications avec un faible nombre de téléchargements.
   • Applications avec une évaluation ou un score faible ou des commentaires incorrects.
   • Applications avec un éditeur ou un site web suspect.
   • Applications dont la dernière mise à jour n’est pas récente. Cela peut indiquer une application qui n’est plus prise en charge.
   • Applications qui ont des autorisations non pertinentes. Cela peut indiquer qu’une application est risquée.
4. Si l’application est toujours suspecte, vous pouvez rechercher le nom, l’éditeur et l’URL de l’application en ligne.
5. Vous pouvez exporter l’audit de l’application OAuth pour une analyse plus approfondie des utilisateurs qui ont autorisé une application. Pour plus d’informations, consultez Audit des applications OAuth.

Comment corriger les applications OAuth suspectes

Une fois que vous avez déterminé qu’une application OAuth est risquée, Defender for Cloud Apps fournit les options de correction suivantes :

• Correction manuelle : vous pouvez facilement interdire la révocation d’une application à partir de la page des applications OAuth

• Correction automatique : vous pouvez créer une stratégie qui révoque automatiquement une application ou révoque un utilisateur spécifique d’une application.

Étapes suivantes

Bonnes pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.