Examiner et remédier aux applications OAuth à risque

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender et est accessible via son portail à l’adresse : https://security.microsoft.com. Microsoft 365 Defender met en corrélation les signaux de la suite Microsoft Defender entre les points de terminaison, les identités, la messagerie et les applications SaaS pour fournir des fonctionnalités de détection au niveau des incidents, d’investigation et de réponse puissantes. Il améliore votre efficacité opérationnelle grâce à une meilleure hiérarchisation et à des temps de réponse plus courts qui protègent vos organization plus efficacement. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Notes

Essayez le nouveau module complémentaire de gouvernance des applications pour Microsoft Defender for Cloud Apps pour obtenir des fonctionnalités de protection, d’insights sur l’utilisation des applications, de gouvernance et de correction pour les applications qui accèdent directement aux données client de l’application M365. Pour plus d’informations, consultez Module complémentaire de gouvernance des applications pour Microsoft Defender for Cloud Apps (en préversion).

Découvrez l’égibilité des clients et inscrivez-vous à un essai gratuit ici.

OAuth est une norme ouverte pour l’authentification et l’autorisation basées sur les jetons. OAuth permet aux services tiers d’utiliser les informations de compte d’un utilisateur, sans exposer le mot de passe de l’utilisateur. OAuth agit en tant qu’intermédiaire pour le compte de l’utilisateur, fournissant au service un jeton d’accès qui autorise le partage d’informations de compte spécifiques.

Par exemple, une application qui analyse le calendrier de l’utilisateur et donne des conseils sur la façon de devenir plus productif a besoin d’accéder au calendrier de l’utilisateur. Au lieu de fournir les informations d’identification de l’utilisateur, OAuth permet à l’application d’obtenir l’accès aux données avec uniquement un jeton, qui est généré lorsque l’utilisateur fournit son consentement sur une page, comme illustré dans l’image ci-dessous.

Permission d’application OAuth.

De nombreuses applications tierces qui peuvent être installées par des utilisateurs professionnels dans votre organisation, demandent l’autorisation d’accéder aux informations et données d’utilisateur et se connectent au nom de l’utilisateur dans d’autres applications cloud. Quand les utilisateurs installent ces applications, ils cliquent souvent sur accepter sans examiner attentivement les détails dans l’invite, notamment l’octroi des autorisations à l’application. Le fait d’accepter les autorisations d’applications tierces est un risque de sécurité potentiel pour votre organisation.

Par exemple, la page de consentement d’application OAuth suivante peut paraître légitime à l’utilisateur moyen, toutefois, « l’Explorateur d’API Google » ne devrait pas avoir besoin de demander des autorisations à Google. Par conséquent, cela indique que l’application peut être une tentative de hameçonnage, non liée à Google.

Hameçonnage OAuth Google.

En tant qu’administrateur de sécurité, vous avez besoin d’une visibilité et de contrôle sur les applications dans votre environnement et cela inclut leurs autorisations. Vous devez être en mesure d’empêcher l’utilisation d’applications qui demandent l’autorisation à des ressources que vous voulez révoquer. Par conséquent, Microsoft Defender for Cloud Apps vous permet d’examiner et de surveiller les autorisations d’application accordées par vos utilisateurs. Cet article est destiné à vous aider à analyser les applications OAuth de votre organisation et à vous concentrer sur les applications qui sont plus susceptibles d’être suspectes.

Notre approche recommandée consiste à examiner les applications en utilisant les capacités et les informations fournies dans le portail Defender for Cloud Apps pour filtrer les applications avec peu de risques et se concentrer sur les applications suspectes.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

Comment détecter les applications OAuth à risque

La détection d’une application OAuth à risque peut se faire avec :

  • Alertes : Réagissez à une alerte déclenchée par une stratégie existante.
  • Recherche : Recherche d’une application à risque parmi toutes les applications disponibles, sans réelle suspicion de risque.

Détecter des applications à risque à l’aide des alertes

Vous pouvez définir des stratégies pour vous envoyer automatiquement des notifications lorsqu’une application OAuth correspond à certains critères. Par exemple, vous pouvez définir une stratégie pour vous avertir automatiquement lorsqu’une application, demandant des autorisations élevées et qui a été autorisée par plus de 50 utilisateurs, est détectée. Pour plus d’informations sur la création de stratégies OAuth, consultez Stratégies d’application OAuth.

Détecter des applications à risque à l’aide de la recherche

  1. Dans le portail Microsoft 365 Defender, sous Applications cloud, accédez à Applications OAuth. Utilisez les filtres et les requêtes pour passer en revue ce qui se passe dans votre environnement :

    • Définissez le filtre sur Niveau d’autorisation de gravité élevée et Utilisation communautaire pas courante. Ce filtre vous aide à vous concentrer sur les applications à risque potentiel très élevé pour lesquelles les utilisateurs peuvent avoir sous-estimé le risque.

    • Sous Autorisations sélectionnez toutes les options qui sont particulièrement risquées dans un contexte spécifique. Par exemple, vous pouvez sélectionner tous les filtres qui donnent l’autorisation d’accès aux e-mails, comme Accès complet à toutes les boîtes aux lettres puis passez en revue la liste des applications pour vous assurer qu’elles ont toutes besoin d’un accès relatif à la messagerie. Cela peut faciliter l’investigation dans un contexte spécifique et la recherche d’applications qui semblent légitimes, mais contiennent des autorisations inutiles. Ces applications sont plus susceptibles de présenter des risques.

      Hameçonnage OAuth à risque.

    • Sélectionnez la requête enregistrée Applications autorisées par des utilisateurs externes. Ce filtre vous aide à identifier les applications qui peuvent ne pas être conformes aux normes de sécurité de votre entreprise.

  2. Après les avoir examinées, vous pouvez vous concentrer sur les applications dans les requêtes qui semblent légitimes, mais peuvent en réalité présenter des risques. Utilisez les filtres pour les rechercher :

    • Filtres pour les applications qui sont Autorisées par un petit nombre d’utilisateurs. Si vous vous concentrez sur ces applications, vous pouvez rechercher les applications à risque qui ont été autorisées par un utilisateur compromis.
    • Applications qui ont des autorisations qui ne correspondent pas à l’objectif de l’application, par exemple, une application horloge avec accès complet à toutes les boîtes aux lettres.
  3. Sélectionnez chaque application pour ouvrir le tiroir des applications et vérifier si l’application a un nom, un éditeur ou un site web suspect.

  4. Examinez la liste des applications et des applications cibles dont la date sous Dernier autorisé n’est pas récente. Ces applications ne sont peut-être plus nécessaires.

    Tiroir des applications OAuth.

Examen des applications OAuth suspectes

Après avoir déterminé qu’une application est suspecte et que vous souhaitez l’examiner, nous vous recommandons les principes clés suivants pour une investigation efficace :

  • Plus une application est courante et utilisée, par votre organisation ou en ligne, plus elle est probablement sécurisée.
  • Une application ne doit exiger que les autorisations qui sont liées à son objectif. Si tel n’est pas le cas, l’application peut être risquée.
  • Les applications qui demandent des privilèges élevés ou le consentement de l’administrateur sont plus susceptibles de s’avérer dangereuses.
  1. Sélectionnez l’application pour ouvrir le tiroir de l’application, puis le lien sous Activités associées. Cela ouvre la page Journal d’activité filtrée pour les activités effectuées par l’application. N’oubliez pas que certaines applications effectuent des activités qui sont enregistrées comme ayant été effectuées par un utilisateur. Ces activités sont automatiquement filtrées en dehors des résultats dans le Journal d’activité. Pour plus d’informations sur l’utilisation du journal d’activité, consultez Journal d’activité.
  2. Dans le tiroir, sélectionnez Activités de consentement pour investiguer les consentements de l’utilisateur vis-à-vis de l’application dans le journal d’activité.
  3. Si une application semble suspecte, nous vous recommandons d’examiner son nom et son éditeur dans les différents App Stores. Concentrez-vous sur les applications suivantes, qui peuvent être suspectes :
    • Applications avec un faible nombre de téléchargements.
    • Applications avec une évaluation faible, un faible score ou de mauvais commentaires.
    • Applications avec un éditeur ou un site web suspect.
    • Applications dont la dernière mise à jour n’est pas récente. Cela peut indiquer une application qui n’est plus prise en charge.
    • Applications avec des autorisations inadaptées. Cela peut indiquer qu’une application est à risque.
  4. Si l’application est toujours suspecte, vous pouvez rechercher le nom de l’application, l’éditeur et l’URL en ligne.
  5. Vous pouvez exporter l’audit d’application OAuth pour approfondir l’analyse des utilisateurs qui ont autorisé une application. Pour plus d’informations, consultez Audit des applications OAuth.

Correction des applications OAuth suspectes

Une fois que vous avez déterminé qu’une application OAuth est risquée, Defender pour cloud Apps fournit les options de correction suivantes :

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.