שתף באמצעות

בדוק נתיבי תקיפה של יישום OAuth ב- יישומי ענן של Defender (תצוגה מקדימה)

ניהול חשיפה לפגיעויות אבטחה ב-Microsoft עוזר לך לנהל באופן יעיל את פני השטח של ההתקפה והחשיפה של החברה שלך. על-ידי שילוב נכסים וטכניקות , נתיבי תקיפה ממחישים את הנתיבים מקצה לקצה שבהם התוקפים יכולים להשתמש כדי לעבור מנקודת כניסה בארגון שלך אל הנכסים הקריטיים שלך. יישומי ענן של Microsoft Defender בתוקפים שמשתמשים ביישומי OAuth כדי לגשת לנתונים רגישים ביישומים קריטיים לעסק כגון Microsoft Teams, SharePoint, Outlook ועוד. כדי לתמוך בחקירה ובהפחתת הסיכון, אפליקציות אלה משולבות בנתיב ההתקפה ותצוגות מפת פני השטח של התקיפה ניהול חשיפה לפגיעויות אבטחה ב-Microsoft.

דרישות מוקדמות

כדי להתחיל בעבודה עם תכונות נתיב תקיפה של יישום OAuth בניהול חשיפה, ודא שאתה עומד בדרישות הבאות.

  • רשיון יישומי ענן של Microsoft Defender עם App Governance זמין.

  • יש להפעיל את מחבר היישום של Microsoft 365. לקבלת מידע על ההתחברות ועל אילו מחברי האפליקציות מספקים המלצות אבטחה, ראה חיבור אפליקציות כדי לקבל ניראות ושליטה באמצעות יישומי ענן של Microsoft Defender.

  • אופציונלי: כדי לקבל גישה מלאה לנתוני נתיב תקיפה, מומלץ להשתמש ברישיון אבטחה של E5, Defender for Endpoint או Defender for Identity.

תפקידים והרשאות נדרשים

כדי לגשת לכל חוויות ניהול החשיפה, דרוש לך תפקיד מאוחד המבוסס על בקרת גישה (RBAC) או תפקיד מזהה Entra חדש. נדרשת רק אחת.

  • ניהול חשיפה (קריאה) (RBAC מאוחד)

לחלופין, באפשרותך להשתמש באחד מהתפקידים מזהה Entra הבאים:

הרשאה פעולות
מידע מרכז הניהול (הרשאות קריאה וכתיבה)
אבטחה מרכז הניהול (הרשאות קריאה וכתיבה)
אופרטור אבטחה (הרשאות קריאה וכתיבה מוגבלות)
קורא כללי (הרשאות קריאה)
קורא אבטחה (הרשאות קריאה)

הערה

זמין כעת בסביבות ענן מסחריות בלבד. ניהול חשיפה לפגיעויות אבטחה ב-Microsoft ויכולות אלה אינם זמינים כעת בעננים של ממשלת ארה"ב - GCC, GCC High, DoD ו- China Gov.

ניהול נכסים קריטיים - מנהלים של שירות

יישומי ענן של Microsoft Defender מגדיר ערכה של הרשאות OAuth קריטיות. יישומי OAuth בעלי הרשאות אלה נחשבים נכסים בעלי ערך גבוה. אם הוא נחשף לסכנה, תוקף יכול לקבל הרשאות גבוה ליישומי SaaS. כדי לשקף סיכון זה, נתיבי תקיפה מתייחסים למנהלי שירות עם הרשאות אלה כאל יעדי יעד.

הצגת הרשאות עבור נכסים קריטיים

כדי להציג את רשימת ההרשאות המלאה, עבור אל פורטל Microsoft Defender ונווט אל הגדרות > Microsoft Defender XDR > ניהול > נכסים קריטי.

צילום מסך של הדף 'ניהול נכסים קריטיים' בפורטל Defender XDR הבא.

זרימת משתמש חקירה: הצגת נתיבי תקיפה הכוללים יישומי OAuth

לאחר שתבין אילו הרשאות מייצגות יעדים בעלי ערך גבוה, בצע את השלבים הבאים כדי לבדוק כיצד אפליקציות אלה מופיעות בנתיבי התקיפה של הסביבה שלך. עבור ארגונים קטנים יותר בעלי מספר ניתן לניהול של נתיבי תקיפה, מומלץ לבצע גישה מובנית זו כדי לחקור כל נתיב תקיפה:

הערה

אפליקציות OAuth מוצגות במפת פני השטח של נתיב התקיפה רק כאשר מזוהים תנאים ספציפיים.
לדוגמה, יישום OAuth עשוי להופיע בנתיב התקיפה אם מזוהה רכיב פגיע עם נקודת כניסה שניתן לנצל אותה בקלות. נקודת כניסה זו מאפשרת תנועה רוחבית למנהלי שירות בעלי הרשאות גבוהה.

  1. עבור אל פני השטח של > מתקפות > חשיפה.

  2. סנן לפי 'סוג יעד: מנהל שירות AAD'

    צילום מסך של שירות נתיבי התקיפה הוספת סוג יעד פרימיטיבי

  3. בחר את נתיב התקיפה שכותרתו: "מכשיר עם פגיעויות ברמת חומרה גבוהה מאפשר תנועה רוחבית למנהל שירות עם הרשאות רגישות"

    צילום מסך של שם נתיב התקיפה

  4. לחץ על לחצן הצג במפה כדי לראות את נתיב התקיפה.

    צילום מסך של התצוגה בלחצן 'מפה'

  5. בחר בסימן + כדי להרחיב צמתים ולהצגת חיבורים מפורטים.

    צילום מסך של מפת פני השטח של התקיפה

  6. רחף או בחר צמתים וקצוות כדי לחקור נתונים נוספים, כגון ההרשאות שיש ליישום OAuth זה.

    צילום מסך המציג את ההרשאות שהוקצו לאפליקציה OAuth כפי שמוצג במפות פני השטח של התקיפה

  7. העתק את שם יישום OAuth והדבק אותו בסרגל החיפוש בדף Applications.

    צילום מסך המציג את הכרטיסיה 'יישומי OAuth'

  8. בחר את שם היישום כדי לסקור הרשאות מוקצות ותובנות שימוש, כולל אם הרשאות הרשאה גבוהה נמצאות בשימוש פעיל.

    צילום מסך המציג את ההרשאות שהוקצו לאפליקציה Oauth

  9. אופציונלי: אם תקבע שהיישום OAuth אמור להיות לא זמין, באפשרותך להפוך אותו ללא זמין מהדף 'יישומים'.

זרימת המשתמש של מקבל ההחלטות: קביעת סדרי עדיפויות של נתיב תקיפה באמצעות נקודות משנק

עבור ארגונים גדולים עם נתיבי תקיפה רבים שלא ניתן לחקור באופן ידני, אנו ממליצים להשתמש נתוני נתיב תקיפה וניצול החוויה של נקודות משנק ככלי קביעת סדרי עדיפויות. גישה זו מאפשרת לך:

  • זהה נכסים המחוברים עם נתיבי התקיפה הרבים ביותר.
  • קבלת החלטות מושכלות לגבי הנכסים שברצונך לקבוע עבורם עדיפות לחקירה.
  • סנן לפי Microsoft Entra OAuth כדי לראות אילו יישומי OAuth מעורבים בנתיבי התקיפה הרבים ביותר.
  • החלט על אילו יישומי OAuth יש להחיל הרשאות הרשאה לפחות.

כדי להתחיל בעבודה:

  1. עבור אל הדף נקודות משנק נתיבי > תקיפה.

    צילום מסך המציג את הדף 'נקודות משנק'

  2. בחר שם נקודת משנק כדי לראות פרטים נוספים אודות נתיבי התקיפה המובילים, כגון השם, נקודת הכניסה והיעד.

  3. לחץ על הצג רדיוס הפיצוץ כדי להמשיך ולחקור את נקודת החנק ב- Attack Surface Map. צילום מסך המציג את לחצן רדיוס הפיצוץ של התצוגה

אם נקודת המחנק היא יישום OAuth, המשך את החקירה בדף Applications, כמתואר בשלבים 7-9 לעיל.

ניתוח מפת פני השטח של ההתקפה וצייד באמצעות שאילתות

במפות פני השטח של התקיפה, באפשרותך לראות חיבורים מאפליקציות בבעלות משתמש, אפליקציות OAuth ומנהלי שירות. נתוני קשר גומלין אלה זמינים ב:

  • טבלת ExposureGraphEdges (מציגה חיבורים)

  • טבלת ExposureGraphNodes (כוללת מאפייני צומת כגון הרשאות)

השתמש בשאילתת 'ציד מתקדם' הבאה כדי לזהות את כל יישומי OAuth בעלי הרשאות קריטיות:

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

השלבים הבאים

לקבלת מידע נוסף, ראה: