Tiltott hozzájárulási támogatások észlelése és orvoslása

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Összefoglaló Ismerje meg, hogyan ismerheti fel és orvosolhatja a microsoft 365-ben a tiltott hozzájárulási támogatások támadását.

Egy tiltott hozzájárulás megadására irányuló támadás során a támadó létrehoz egy Azure-ban regisztrált alkalmazást, amely hozzáférést kér az adatokhoz, például a kapcsolattartási adatokhoz, e-mailekhez vagy dokumentumokhoz. A támadó ezután ráveszi a végfelhasználót arra, hogy engedélyezze az alkalmazásnak az adatokhoz való hozzáférést adathalász támadással vagy tiltott kód egy megbízható webhelyre való beszúrásával. A jogellenes alkalmazás hozzájárulásának megadása után fiókszintű hozzáféréssel rendelkezik az adatokhoz anélkül, hogy szervezeti fiókra lenne szükség. A normál javítási lépések (például jelszavak alaphelyzetbe állítása vagy többtényezős hitelesítés (MFA) megkövetelése) nem hatékonyak az ilyen típusú támadások ellen, mivel ezek az alkalmazások a szervezeten kívüliek.

Ezek a támadások olyan interakciós modellt használnak, amely feltételezi, hogy az információt meghívó entitás automatizálás, nem pedig ember.

Fontos

Azt gyanítja, hogy jelenleg problémákat tapasztal egy alkalmazásból származó tiltott hozzájárulási engedélyekkel kapcsolatban? Microsoft Defender for Cloud Apps az OAuth-alkalmazások észlelésére, vizsgálatára és szervizelésére alkalmas eszközökkel rendelkezik. Ez a Defender for Cloud Apps-cikk egy oktatóanyagot biztosít, amely bemutatja, hogyan vizsgálhatja a kockázatos OAuth-alkalmazásokat. OAuth-alkalmazásszabályzatok beállításával megvizsgálhatja az alkalmazás által kért engedélyeket, hogy mely felhasználók engedélyezik ezeket az alkalmazásokat, és széles körben jóváhagyhatja vagy tilthatja ezeket az engedélykérelmeket.

Az auditnaplóban kell keresnie a támadás jeleit, más néven a támadás biztonsági réseinek jelzőit (IOC). A sok Azure-ban regisztrált alkalmazással és nagy felhasználói bázissal rendelkező szervezetek esetében ajánlott heti rendszerességgel áttekinteni a szervezetek hozzájárulási engedélyeit.

A támadás jeleinek megkeresésének lépései

  1. Nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, majd válassza a Naplózás lehetőséget. Vagy, közvetlenül az Audit lapra ugráshoz, használja a https://security.microsoft.com/auditlogsearch.

  2. A Naplózás lapon ellenőrizze, hogy a Keresés lap van-e kiválasztva, majd konfigurálja a következő beállításokat:

    • Dátum és időtartomány
    • Tevékenységek: Ellenőrizze, hogy Az összes tevékenység eredményeinek megjelenítése beállítás be van-e jelölve.

    Ha végzett, válassza a Keresés lehetőséget.

  3. Válassza a Tevékenység oszlopot az eredmények rendezéséhez, és keresse meg a Hozzájárulás az alkalmazáshoz lehetőséget.

  4. Válasszon ki egy bejegyzést a listából a tevékenység részleteinek megtekintéséhez. Ellenőrizze, hogy az IsAdminConsent értéke Igaz-e.

Megjegyzés:

30 perctől akár 24 óráig is eltarthat, amíg a megfelelő naplóbejegyzés megjelenik a keresési eredményekben egy esemény bekövetkezése után.

A naplóban lévő naplórekordok megőrzésének és keresésének időtartama a Microsoft 365-előfizetésétől és konkrétan az adott felhasználóhoz rendelt licenc típusától függ. További információ: Auditnapló.

Az igaz érték azt jelzi, hogy egy globális rendszergazdai hozzáféréssel rendelkező személy széles körű hozzáférést adhatott az adatokhoz. Ha ez az érték váratlan, tegyen lépéseket a támadás megerősítéséhez.

Támadás megerősítése

Ha a korábban felsorolt IOC-k egy vagy több példányával rendelkezik, további vizsgálatot kell végeznie a támadás bekövetkezésének pozitív megerősítéséhez. A támadás megerősítéséhez a következő három módszer bármelyikét használhatja:

  • Leltározási alkalmazások és engedélyeik a Microsoft Entra felügyeleti központ használatával. Ez a módszer alapos, de egyszerre csak egy felhasználót ellenőrizhet, ami nagyon időigényes lehet, ha sok felhasználót kell ellenőriznie.
  • Leltáralkalmazások és engedélyeik a PowerShell használatával. Ez a leggyorsabb és legáttekintőbb módszer, a legkevesebb többletterheléssel.
  • A felhasználóknak egyenként kell ellenőrizniük az alkalmazásaikat és az engedélyeiket, és jelenteniük kell az eredményeket a rendszergazdáknak szervizelés céljából.

Leltáralkalmazások hozzáféréssel a szervezetben

A következő lehetőségek állnak rendelkezésre az alkalmazások leltározására a felhasználók számára:

  • A Microsoft Entra felügyeleti központ.
  • Powershell.
  • A felhasználóknak egyenként kell számbavételt készíteniük az alkalmazáshoz való hozzáférésükről.

A Microsoft Entra felügyeleti központ használatának lépései

Az Microsoft Entra felügyeleti központ segítségével megkeresheti azokat az alkalmazásokat, amelyekhez bármely felhasználó engedélyt adott:

  1. Nyissa meg a Microsoft Entra felügyeleti központ a címenhttps://entra.microsoft.com, majd lépjen azIdentitásfelhasználók>> *Minden felhasználó területre. Vagy ha közvetlenül a Felhasználók>Minden felhasználó területre szeretne lépni, használja a következőt https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/: .
  2. A Megjelenítendő név értékre kattintva keresse meg és válassza ki a megtekinteni kívánt felhasználót.
  3. A megnyíló felhasználóadatok lapon válassza az Alkalmazások lehetőséget.

Ezek a lépések bemutatják a felhasználóhoz rendelt alkalmazásokat, és hogy milyen engedélyekkel rendelkeznek az alkalmazások.

A felhasználók alkalmazás-hozzáférésének számbavételének lépései

Arra kérheti a felhasználókat, hogy látogasson el ide https://myapps.microsoft.com , és tekintse át a saját alkalmazáshozzáférésüket. Képesnek kell lenniük az összes hozzáféréssel rendelkező alkalmazás megtekintésére, a velük kapcsolatos részletek megtekintésére (beleértve a hozzáférés hatókörét), valamint a gyanús vagy tiltott alkalmazásokra vonatkozó jogosultságok visszavonására.

Lépések a PowerShellben

A tiltott hozzájárulás megadására irányuló támadás ellenőrzésének legegyszerűbb módja a Get-AzureADPSPermissions.ps1futtatása, amely az összes OAuth-hozzájárulási engedélyt és OAuth-alkalmazást egyetlen .csv fájlba teszi.

Előfeltételek

  • Telepített Azure AD PowerShell-kódtár.
  • Globális rendszergazdai engedélyek abban a szervezetben, ahol a szkript fut.
  • Helyi rendszergazdai engedélyek azon a számítógépen, amelyen a szkripteket futtatja.

Fontos

Javasoljuk, hogy többtényezős hitelesítést igényeljön a rendszergazdai fiókjában. Ez a szkript támogatja az MFA-hitelesítést.

Megjegyzés:

Azure AD PowerShell elavulása 2024. március 30-án várható. További információért olvassa el az elavulással kapcsolatos frissítést.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábban Azure AD) használatához. A Microsoft Graph PowerShell minden Microsoft Graph API-hoz hozzáférést biztosít, és elérhető a PowerShell 7-ben. A gyakori migrálási lekérdezésekre adott válaszokért tekintse meg a migrálással kapcsolatos gyakori kérdéseket.

  1. Jelentkezzen be arra a számítógépre, amelyen helyi rendszergazdai jogosultságokkal szeretné futtatni a szkripteket.

  2. Töltse le vagy másolja a Get-AzureADPSPermissions.ps1 szkriptet a GitHubról egy könnyen megtalálható és megjegyezhető mappába. Ebben a mappában kell megírnia a "permissions.csv" kimeneti fájlt is.

  3. Nyisson meg rendszergazdaként egy emelt szintű PowerShell-munkamenetet abban a mappában, ahová a szkriptet mentette.

  4. Csatlakozzon a könyvtárhoz a Connect-MgGraph parancsmaggal.

  5. Futtassa ezt a PowerShell-parancsot:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation

A szkript létrehoz egy Permissions.csv nevű fájlt. Kövesse az alábbi lépéseket a tiltott alkalmazásengedély-engedélyek kereséséhez:

  1. A ConsentType oszlopban (G oszlopban) keresse meg az "AllPrinciples" értéket. Az AllPrincipals engedély lehetővé teszi, hogy az ügyfélalkalmazás hozzáférjen a bérlői fiókban lévő összes tartalomhoz. A natív Microsoft 365-alkalmazásoknak erre az engedélyre van szükségük a megfelelő működéshez. Minden ilyen engedéllyel rendelkező nem Microsoft-alkalmazást alaposan át kell tekinteni.

  2. Az Engedély oszlopban (F oszlop) tekintse át az egyes delegált alkalmazások tartalommal kapcsolatos engedélyeit. Keresse meg az "Olvasás" és az "Írás" vagy az "Összes" engedélyt, és gondosan tekintse át ezeket az engedélyeket, mert előfordulhat, hogy nem megfelelőek.

  3. Tekintse át azokat a felhasználókat, akiknek megadták a hozzájárulást. Ha a nagy profilú vagy nagy értékű felhasználók nem megfelelő hozzájárulást kapnak, további vizsgálatot kell végeznie.

  4. A ClientDisplayName oszlopban (C oszlop) keressen gyanúsnak tűnő alkalmazásokat. Alaposan át kell tekinteni azokat az alkalmazásokat, amelyekben helytelenül írt nevek, szuperland-nevek vagy hackerek által hangzó nevek szerepelnek.

A támadás hatókörének meghatározása

Miután befejezte az alkalmazás-hozzáférés leltározását, tekintse át az auditnaplót a biztonsági incidens teljes hatókörének meghatározásához. Keresés az érintett felhasználókat, azokat az időkereteket, amelyekkel az illegális alkalmazás hozzáfért a szervezethez, valamint az alkalmazás engedélyeit. Az auditnaplóban a Microsoft Defender portálon kereshet.

Fontos

A postaládák naplózását és a tevékenységek naplózását a rendszergazdák és a felhasználók számára a támadás előtt engedélyezni kell, hogy megkapja ezeket az információkat.

Miután azonosította az alkalmazást tiltott engedélyekkel, több módon is eltávolíthatja ezt a hozzáférést:

  • Az alkalmazás engedélyét az Microsoft Entra felügyeleti központ az alábbi lépésekkel vonhatja vissza:

    1. Nyissa meg a Microsoft Entra felügyeleti központ a címenhttps://entra.microsoft.com, majd lépjen azIdentitásfelhasználók>> *Minden felhasználó területre. Vagy ha közvetlenül a Felhasználók>Minden felhasználó területre szeretne lépni, használja a következőt https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/: .
    2. Keresse meg és válassza ki az érintett felhasználót a Megjelenítendő név értékre kattintva.
    3. A megnyíló felhasználóadatok lapon válassza az Alkalmazások lehetőséget.
    4. Az Alkalmazások lapon a Név értékre kattintva válassza ki a tiltott alkalmazást.
    5. A megnyíló Hozzárendelés részletei lapon válassza az Eltávolítás lehetőséget.

  • A PowerShell-lel visszavonhatja az OAuth-hozzájárulás megadását a Remove-MgOauth2PermissionGrant lépéseivel

  • A Szolgáltatásalkalmazás szerepkör-hozzárendelését a PowerShell-lel vonhatja vissza a Remove-MgServicePrincipalAppRoleAssignment lépéseivel.

  • Letilthatja az érintett fiókhoz való bejelentkezést, amely letiltja az alkalmazás által a fiókban lévő adatokhoz való hozzáférést. Ez a művelet nem ideális a felhasználói hatékonysághoz, de rövid távú szervizelés lehet a támadás eredményeinek gyors korlátozásához.

  • Kikapcsolhatja az integrált alkalmazásokat a szervezetben. Ez a művelet drasztikus. Bár megakadályozza, hogy a felhasználók véletlenül hozzáférést adjanak egy rosszindulatú alkalmazáshoz, azt is megakadályozza, hogy minden felhasználó hozzájárulást adjon az alkalmazásokhoz. Ezt a műveletet nem javasoljuk, mert ez súlyosan rontja a felhasználók hatékonyságát külső alkalmazások esetében. Az integrált alkalmazásokat az Integrált alkalmazások be- és kikapcsolása című cikk lépéseit követve kapcsolhatja ki.

Lásd még