שתף באמצעות


זיהוי ותיקון של מענקים להסכמה לא מפורשת

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.

תקציר למד כיצד לזהות ולתיקון של מתקפות הסכמה לא מפורשת ב- Microsoft 365.

בהתקפת הענקת הסכמה לא מפורשת, התוקף יוצר יישום רשום של Azure המבקש גישה לנתונים כגון פרטי קשר, דואר אלקטרוני או מסמכים. התוקף עושה שימוש במשתמש קצה כדי להעניק לאותה הסכמה מהיישום לגשת לנתונים שלו באמצעות מתקפת דיוג, או על-ידי הזרקת קוד לא חוקי לאתר אינטרנט מהימן. לאחר שהיישום לא חוקי מוענק הסכמה, יש לו גישה ברמת החשבון לנתונים ללא צורך בחשבון ארגוני. שלבי תיקון רגילים (לדוגמה, איפוס סיסמאות או דרישת אימות רב-גורמי (MFA)) אינם בתוקף כנגד סוג זה של תקיפה, מכיוון שאפליקציות אלה הן חיצוניות לארגון.

התקפות אלה משתמשות במודל אינטראקציה שהנחה שהישות שהתקשרה למידע היא אוטומציה ולא אנושית.

חשוב

האם אתה חושד שאתה נתקל בבעיות במענקי הסכמה לא מפורשים מאפליקציה, כרגע? יישומי ענן של Microsoft Defender כלים כדי לזהות, לחקור ולתקנו את יישומי OAuth שלך. מאמר יישומי ענן של Defender זה כולל ערכת לימוד המתארת כיצד לבצע חקירה של אפליקציות OAuth מ מסוכן. באפשרותך גם להגדיר מדיניות יישום OAuth כדי לחקור הרשאות שהתבקשו על-ידי היישום, שהמשתמשים מאשרים יישומים אלה, ומאשרים אוסור כלל בקשות אלה להרשאות.

עליך לחפש ביומן הביקורת כדי למצוא סימנים, הנקראים גם מחווני פשרה (IOC) של מתקפה זו. עבור ארגונים עם יישומים רבים הרשומים על-ידי Azure ובסיס משתמשים גדול, מומלץ לסקור את מעניקי ההסכמה של הארגונים שלך על בסיס שבועי.

השלבים לאיתור סימנים למתקפה זו

  1. פתח את Microsoft Defender ב- https://security.microsoft.com ולאחר מכן בחר ביקורת. לחלופין, כדי לעבור ישירות לדף הביקורת, השתמש ב- https://security.microsoft.com/auditlogsearch.

  2. בדף ביקורת, ודא שהכרטיסיה חיפוש נבחרה ולאחר מכן קבע את תצורת ההגדרות הבאות:

    • טווח תאריך ושעה
    • פעילויות: ודא שהבחירה באפשרות הצג תוצאות עבור כל הפעילויות.

    לאחר שתסיים, בחר חיפוש.

  3. בחר את העמודה פעילות כדי למיין את התוצאות ולחפש את האפשרות הסכמה ליישום.

  4. בחר ערך מהרשימה כדי לראות את פרטי הפעילות. בדוק אם IsAdminConsent מוגדר ל- True.

הערה

ייתכן שיוצגו בתוצאות החיפוש בין 30 דקות ל- 24 שעות עד שערך יומן הביקורת המתאים יוצג בתוצאות החיפוש לאחר התרחשות אירוע.

משך הזמן שבו רשומת ביקורת נשמרת וניתנת לחיפוש ביומן הביקורת תלוי במנוי Microsoft 365 שלך, ובפרט בסוג הרשיון המוקצה למשתמש ספציפי. לקבלת מידע נוסף, ראה יומן ביקורת.

הערך הוא True מציין שייתכן שמישהו בעל גישה של מנהל מערכת כללי העניק גישה רחבה לנתונים. אם ערך זה אינו צפוי, בצע שלבים כדי לאשר מתקפה.

כיצד לאשר התקפה

אם יש לך מופע אחד או יותר של ה- IOCs שצוין קודם לכן, עליך לבצע חקירה נוספת כדי לוודא באופן חיובי שהתקיפה התרחשה. באפשרותך להשתמש בכל אחת משלוש השיטות הבאות כדי לאשר את ההתקפה:

  • יישומי מלאי וההרשאות שלהם באמצעות מרכז הניהול של Microsoft Entra. שיטה זו יסודית, אך ניתן לבדוק משתמש אחד בלבד בכל פעם, העשויים לצרוך זמן רב אם עליך לבדוק משתמשים רבים.
  • יישומי מלאי וההרשאות שלהם באמצעות PowerShell. זוהי השיטה המהירה והסודית ביותר, עם הכמות הנמוכה ביותר של תקיף.
  • בקש מהמשתמשים שלך לבדוק בנפרד את האפליקציות וההרשאות שלהם ולדווח על התוצאות בחזרה למנהלי המערכת לקבלת תיקון.

אפליקציות מלאי עם גישה בארגון שלך

יש לך את האפשרויות הבאות למלאי יישומים עבור המשתמשים שלך:

  • ה"מרכז הניהול של Microsoft Entra".
  • PowerShell.
  • בקש מהמשתמשים שלך לספור את גישת היישום שלהם בנפרד.

שלבים לשימוש מרכז הניהול של Microsoft Entra

באפשרותך לחפש את היישומים שאליהם כל משתמש בודד העניק הרשאות באמצעות מרכז הניהול של Microsoft Entra:

  1. פתח את מרכז הניהול של Microsoft Entra ב- https://entra.microsoft.comולאחר מכן עבור אל משתמשי זהות>כל>המשתמשים. לחלופין, כדי לעבור ישירות אל משתמשים כל>המשתמשים, השתמש ב- https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. חפש ובחר את המשתמש שברצונך לסקור על-ידי לחיצה על הערך של שם התצוגה.
  3. בדף פרטי המשתמש שנפתח, בחר יישומים.

שלבים אלה מציגים את היישומים שהוקצו למשתמש ואת ההרשאות שיש ליישומים.

השלבים לאפשר למשתמשים לספור את גישת היישום שלהם

בקש מהמשתמשים שלך לעבור לשם https://myapps.microsoft.com ולס לסקור את גישת היישום שלהם. הם אמורים להיות מסוגלים לראות את כל האפליקציות שיש להן גישה, להציג פרטים עליהם (כולל היקף הגישה) ולבטל הרשאות לאפליקציות חשודות או לא חוקיות.

שלבים ב- PowerShell

הדרך הפשוטה ביותר לאמת את התקיפה של הענקת הסכמה לא מפורשת היא להפעיל את Get-AzureADPSPermissions.ps1, אשר תכלול את כל מענקים ההסכמה של OAuth ואפליקציות OAuth עבור כל המשתמשים הדיירות שלך בקובץ .csv אחד.

דרישות מוקדמות

  • ספריית Azure AD PowerShell המותקנת.
  • הרשאות מנהל מערכת כללי בארגון שבו פועל קובץ ה- Script.
  • הרשאות מנהל מערכת מקומי במחשב שבו אתה מפעיל את קבצי ה- Script.

חשוב

מומלץ מאוד לדרוש אימות רב-גורמי בחשבון מנהל המערכת שלך. קובץ Script זה תומך באימות MFA.

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הערה

Azure AD Powershell מתוכנן לפחת ב- 30 במרץ 2024. לקבלת מידע נוסף, קרא את עדכון הפחת.

אנו ממליצים לעבור ל- Microsoft Graph PowerShell כדי לקיים אינטראקציה עם Microsoft Entra מזהה (בעבר Azure AD). Microsoft Graph PowerShell מאפשר גישה לכל ממשקי ה- API של Microsoft Graph וזמין ב- PowerShell 7. לקבלת תשובות לשאילתות העברה נפוצות, ראה שאלות נפוצות בנושא העברה.

  1. היכנס למחשב שבו ברצונך להפעיל את קבצי ה- Script עם זכויות מנהל מערכת מקומי.

  2. הורד או העתק אתGet-AzureADPSPermissions.ps1 קובץ ה- Script מ- GitHub לתיקיה שקל למצוא ולזכור. תיקיה זו היא גם המקום שבו עליך לכתוב את קובץ הפלט "permissions.csv" נכתב.

  3. פתח הפעלת PowerShell עם הרשאות מלאות כמנהל מערכת בתיקיה שבה שמרת את קובץ ה- Script.

  4. התחבר למדריך הכתובות שלך באמצעות ה- cmdlet Connect-MgGraph .

  5. הפעל את הפקודה הבאה של PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

קובץ ה- Script מפיק קובץ אחד בשם Permissions.csv. בצע שלבים אלה כדי לחפש מעניקי הרשאה לא חוקיים ליישום:

  1. בעמודה ConsentType (עמודה G) חפש את הערך "AllPrinciples". ההרשאה AllPrincipals מאפשרת ליישום הלקוח לגשת לתוכן של כולם שכירות. יישומי Microsoft 365 מקוריים זקוקים לה הרשאה זו כדי לפעול כראוי. יש לעיין בקפידה בכל יישום שאינו של Microsoft בעל הרשאה זו.

  2. בעמודה הרשאה (עמודה F), סקור את ההרשאות שיש לכל יישום מוקצה לתוכן. חפש את ההרשאה 'קרא' ו'כתוב' או את ההרשאה 'הכל', ועיין בהרשאות אלה בקפידה, מכיוון שייתכן שהן לא מתאימות.

  3. סקור את המשתמשים הספציפיים שהסכמתם הוענקה להם. אם משתמשים בעלי פרופיל גבוה או בעל ערך גבוה כוללים הסכמות בלתי הולמות שהוענקו, עליך להמשיך ולחקור.

  4. בעמודה ClientDisplayName (עמודה C) חפש אפליקציות שנראה חשודות. יש לעיין בקפידה באפליקציות עם שמות שלא אויתו כראוי, שמות סופר-לנד או שמות שנשמעים על-ידי האקרים.

קבע את היקף ההתקפה

לאחר שתסיים למלא את הגישה ליישום, עיין ביומן הביקורת כדי לקבוע את היקף ההפרה המלא. חפש את המשתמשים המושפעים, מסגרות הזמן שהיו ליישום לא חוקי גישה לארגון שלך וההרשאות שהיו לאפליקציה. באפשרותך לחפש ביומן הביקורתבפורטל Microsoft Defender.

חשוב

ביקורת תיבותדואר וביקורת פעילות עבור מנהלי מערכת ומשתמשים חייבים להיות זמינים לפני התקיפה כדי שתוכל לקבל מידע זה.

לאחר שזיהית את היישום עם הרשאות לא חוקיות, קיימות כמה דרכים להסרת גישה זו:

  • באפשרותך לבטל את הרשאת היישום במרכז הניהול של Microsoft Entra על-ידי ביצוע השלבים הבאים:

    1. פתח את מרכז הניהול של Microsoft Entra ב- https://entra.microsoft.comולאחר מכן עבור אל משתמשי זהות>כל>המשתמשים. לחלופין, כדי לעבור ישירות אל משתמשים כל>המשתמשים, השתמש ב- https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. אתר ובחר את המשתמש המושפע על-ידי לחיצה על הערך של שם התצוגה.
    3. בדף פרטי המשתמש שנפתח, בחר יישומים.
    4. בדף Applications, בחר את היישום לא חוקי על-ידי לחיצה על הערך Name .
    5. בדף פרטי מטלה שנפתח, בחר הסר.
  • באפשרותך לבטל את מענק ההסכמה של OAuth באמצעות PowerShell על-ידי ביצוע השלבים במאמר Remove-MgOauth2PermissionGrant

  • באפשרותך לבטל את הקצאת התפקידים של יישום השירות באמצעות PowerShell על-ידי ביצוע השלבים במאמר Remove-MgServicePrincipalAppRoleAssignment.

  • באפשרותך להפוך את הכניסה ללא זמינה עבור החשבון המושפע, מה שמבטל את הגישה לנתונים בחשבון על-ידי האפליקציה. פעולה זו אינה אידיאלית לפרודוקטיביות המשתמשים, אך היא יכולה להיות תיקון לטווח קצר כדי להגביל במהירות את תוצאות התקיפה.

  • באפשרותך לבטל יישומים משולבים בארגון שלך. פעולה זו קיצונית. למרות שהיא מונעת ממשתמשים להעניק בטעות גישה לאפליקציה זדונית, היא גם מונעת מכל המשתמשים להעניק הסכמה ליישומים כלשהם. פעולה זו אינה מומלצת משום שהיא פוגעת באופן חמור בפרודוקטיביות המשתמשים ביישומים של ספקים חיצוניים. באפשרותך לבטל אפליקציות משולבות על-ידי ביצוע השלבים בהפעלה או כיבוי של אפליקציות משולבות.

למידע נוסף