Megosztás a következőn keresztül:

Sérült és rosszindulatú alkalmazások vizsgálata

  • Cikk

Ez a cikk útmutatást nyújt egy ügyfélbérlelő egy vagy több alkalmazásával kapcsolatos rosszindulatú támadások azonosításához és kivizsgálásához. A lépésenkénti utasítások segítségével elvégezheti a szükséges javítási műveletet az információk védelme és a további kockázatok minimalizálása érdekében.

  • Előfeltételek: A vizsgálat megkezdése előtt teljesítenie kell azokat a konkrét követelményeket, amelyeket teljesítenie kell. Például be kell kapcsolni a naplózást, többek között a szerepköröket és a szükséges engedélyeket.
  • Munkafolyamat: A vizsgálat elvégzéséhez követendő logikai folyamatot jeleníti meg.
  • Vizsgálati lépések: Részletes részletes útmutatót tartalmaz ehhez az adott vizsgálathoz.
  • Elszigetelési lépések: A feltört alkalmazások letiltásának lépéseit tartalmazza.
  • Helyreállítási lépések: Magas szintű lépéseket tartalmaz a sérült alkalmazások rosszindulatú támadásának helyreállítására/elhárítására.
  • Hivatkozások: Egyéb olvasási és referenciaanyagokat tartalmaz.

Előfeltételek

A vizsgálat megkezdése előtt győződjön meg arról, hogy rendelkezik a megfelelő eszközökkel és engedélyekkel a részletes információk gyűjtéséhez.

Szükséges eszközök

A hatékony vizsgálathoz telepítse a következő PowerShell-modult és az eszközkészletet a vizsgálógépre:

Munkafolyamat

Részletes folyamatábra a vizsgálati lépésekről.

Vizsgálati lépések

Ebben a vizsgálatban tegyük fel, hogy vagy egy felhasználói jelentés, a Microsoft Entra bejelentkezési naplóinak vagy egy identitásvédelmi észlelés formájában jelzi az alkalmazás esetleges sérülését. Mindenképpen végezze el és engedélyezze az összes szükséges előfeltétel-lépést.

Ez a forgatókönyv azzal a szándékkal készült, hogy nem minden Microsoft-ügyfél és vizsgálati csapata rendelkezik a teljes Microsoft 365 E5 vagy Microsoft Entra ID P2 licenccsomaggal, vagy konfigurálva van. Ez a forgatókönyv szükség esetén más automatizálási képességeket is kiemel.

Alkalmazás típusának meghatározása

Fontos, hogy a vizsgálati fázis korai szakaszában meg kell határozni az alkalmazás típusát (több- vagy egybérlős), hogy megkaphassa az alkalmazás tulajdonosához való hozzáféréshez szükséges megfelelő információkat. További információ: Bérlői fiók a Microsoft Entra ID-ban.

Több-bérlős alkalmazások

Több-bérlős alkalmazások esetén az alkalmazást egy harmadik fél üzemelteti és felügyeli. Azonosítsa a problémák megoldásához és az alkalmazás tulajdonosának való jelentéséhez szükséges folyamatot.

Egybérlős alkalmazások

Keresse meg az alkalmazás tulajdonosának kapcsolattartási adatait a szervezeten belül. A Vállalati alkalmazások szakasz Tulajdonosok lapján található. Másik lehetőségként előfordulhat, hogy a szervezet rendelkezik olyan adatbázissal, amely ezeket az információkat tartalmazza.

Ezt a Microsoft Graph-lekérdezést is végrehajthatja:

GET https://graph.microsoft.com/v1.0/applications/{id}/owners

Identity Protection ellenőrzése – kockázatos számítási feladatok identitásai

Ez a funkció előzetes verzióban érhető el a forgatókönyv írásakor, és a licencelési követelmények vonatkoznak a használatára. A kockázatos számítási feladatok identitásai lehetnek a szolgáltatásnév vizsgálatának eseményindítói, de további vizsgálatra is használhatók az ön által azonosított egyéb eseményindítók esetében. A szolgáltatásnév kockázati állapotát az Identity Protection – kockázatos számítási feladatok identitásai lapon ellenőrizheti, vagy használhatja a Microsoft Graph API-t.

Képernyőkép a Kockázatészlelés részletei portál oldaláról.

Képernyőkép a Kockázatészlelés részletei felhasználói felület oldaláról.

A Szolgáltatásnév kockázatészlelési gráf API-jának mintája.

Szokatlan bejelentkezési viselkedés ellenőrzése

A vizsgálat első lépése a szolgáltatásnév használatának szokatlan hitelesítési mintáinak keresése. Az Azure Portalon, az Azure Monitoron, a Microsoft Sentinelen vagy a szervezet által választott biztonsági információs és eseménykezelési (SIEM) rendszeren belül keresse meg a következőket a szolgáltatásnév bejelentkezési szakaszában :

  • Hely – a szolgáltatásnév olyan helyekről hitelesíti azokat az IP-címeket, amelyekre nem számít?
  • Hibák – nagy számú hitelesítési hiba történt a szolgáltatásnévnél?
  • Időbélyegek – vannak olyan sikeres hitelesítések, amelyek olyan időpontokban történnek, amikor nem várható?
  • Gyakoriság – a szolgáltatásnév hitelesítésének gyakorisága növekszik?
  • Hitelesítő adatok kiszivárgása – az alkalmazás hitelesítő adatai keményen kódolva vannak, és nyilvános forrásban, például a GitHubon vannak közzétéve?

Ha üzembe helyezte a Microsoft Entra ID Identity Protectiont – kockázatos számítási feladatok identitásait, ellenőrizze a gyanús bejelentkezéseket és a szivárgási hitelesítő adatok észlelését. További információ: számítási feladat identitásának kockázatának visszatartása.

A célerőforrás ellenőrzése

A szolgáltatásnév-bejelentkezéseken belül ellenőrizze azt az erőforrást is, amelyhez a szolgáltatásnév hozzáfért a hitelesítés során. Fontos, hogy az alkalmazás tulajdonosától kérje le a bemenetet, mert tisztában vannak azzal, hogy mely erőforrásokhoz kell hozzáférnie a szolgáltatásnévnek.

Képernyőkép a szolgáltatásnév erőforrásának ellenőrzéséről.

A hitelesítő adatok rendellenes változásainak ellenőrzése

Az auditnaplókkal információkat kaphat az alkalmazások és szolgáltatásnevek hitelesítő adatainak változásairól. Kategória szűrése alkalmazáskezelés szerint, tevékenység frissítési alkalmazás szerint – Tanúsítványok és titkos kódok kezelése.

  • Ellenőrizze, hogy vannak-e újonnan létrehozott vagy váratlan hitelesítő adatok hozzárendelve a szolgáltatásnévhez.
  • A Microsoft Graph API-val ellenőrizze a szolgáltatásnév hitelesítő adatait.
  • Ellenőrizze az alkalmazás és a társított szolgáltatásnév objektumait is.
  • Ellenőrizze a létrehozott vagy módosított egyéni szerepköröket . Jegyezze fel az alább megjelölt engedélyeket:

Képernyőkép a létrehozott vagy módosított egyéni szerepkörök ellenőrzéséről.

Ha alkalmazásszabályozást helyezett üzembe az Felhőhöz készült Microsoft Defender Appsben, ellenőrizze az Azure Portalon az alkalmazással kapcsolatos riasztásokat. További információ: Ismerkedés az alkalmazásfenyegetések észlelésével és szervizeléssel.

Ha telepítette az Identity Protectiont, ellenőrizze a "Kockázatészlelések" jelentést, valamint a felhasználói vagy számítási feladatok identitásának "kockázati előzményeit".

Képernyőkép a Kockázatészlelési portál felhasználói felületéről.

Ha Felhőhöz készült Microsoft Defender-alkalmazásokat telepített, győződjön meg arról, hogy a "Hitelesítő adatok szokatlan hozzáadása OAuth-alkalmazásokhoz" szabályzat engedélyezve van, és ellenőrizze a nyitott riasztásokat.

További információ: Hitelesítő adatok szokatlan hozzáadása OAuth-alkalmazásokhoz.

Emellett lekérdezheti a servicePrincipalRiskDetections és a user riskDetections API-kat a kockázatészlelések lekéréséhez.

Rendellenes alkalmazáskonfigurációs módosítások keresése

  • Ellenőrizze az alkalmazáshoz rendelt API-engedélyeket, hogy az engedélyek összhangban legyenek az alkalmazás által vártakkal.
  • Ellenőrizze az auditnaplókat (szűrje a tevékenységet az Update Application vagy az Update Service Principal alapján).
  • Ellenőrizze, hogy a kapcsolati sztring konzisztensek-e, és hogy módosították-e a kijelentkezés URL-címét.
  • Ellenőrizze, hogy az URL-cím tartományai összhangban vannak-e a regisztrált tartományokkal.
  • Állapítsa meg, hogy valaki jogosulatlan átirányítási URL-címet adott-e hozzá.
  • Győződjön meg arról, hogy a tulajdonában lévő átirányítási URI tulajdonjoga nem járt le, és egy támadó igényelte.

Ha Felhőhöz készült Microsoft Defender-alkalmazásokat telepített, ellenőrizze az Azure Portalon a jelenleg vizsgált alkalmazással kapcsolatos riasztásokat. Az OAuth-alkalmazások esetében alapértelmezés szerint nem minden riasztási szabályzat van engedélyezve, ezért győződjön meg arról, hogy ezek a szabályzatok mind engedélyezve vannak. További információ: OAuth-alkalmazásszabályzatok. Az alkalmazások gyakoriságával és a legutóbbi tevékenységekkel kapcsolatos információkat a Vizsgálati>OAuth-alkalmazások lapon is megtekintheti.

Gyanús alkalmazásszerepkörök keresése

  • A naplózási naplókat is használhatja. Tevékenység szűrése alkalmazásszerepkör-hozzárendelés hozzáadása szolgáltatásnévhez.
  • Ellenőrizze, hogy a hozzárendelt szerepkörök magas jogosultsággal rendelkeznek-e.
  • Ellenőrizze, hogy szükség van-e ezekre a jogosultságokra.

Ellenőrizetlen kereskedelmi alkalmazások keresése

  • Ellenőrizze, hogy kereskedelmi katalógusbeli (közzétett és ellenőrzött verziók) alkalmazások vannak-e használatban.

A keyCredential tulajdonság információinak felfedésének ellenőrzése

A CVE-2021-42306-ban leírtak szerint tekintse át a bérlőt a keyCredential tulajdonságinformációk feltárására.

Az érintett Automation futtató fiókokhoz társított Érintett Microsoft Entra-alkalmazások azonosításához és szervizeléséhez keresse meg a GitHub-adattár szervizelési útmutatóját.

Fontos

Ha biztonsági rést fedez fel, fontos, hogy megtegye az elszigetelési és helyreállítási szakaszokban kiemelt lépéseket. Ezek a lépések segítenek a kockázat megoldásában, de további vizsgálatot végeznek a kompromisszum forrásának megértéséhez a további hatás elkerülése és a rossz szereplők eltávolítása érdekében.

Két elsődleges módszer létezik a rendszerekhez való hozzáférésre az alkalmazások használatával. Az első olyan alkalmazás, amelyhez rendszergazda vagy felhasználó járul hozzá, általában adathalászati támadással. Ez a módszer a rendszer kezdeti elérésének része, és gyakran nevezik "hozzájárulási adathalászatnak".

A második módszer egy már feltört rendszergazdai fiók létrehozását foglalja magában, amely egy új alkalmazást hoz létre az adatmegőrzés, az adatgyűjtés és a radar alatt maradás céljából. Egy feltört rendszergazda például létrehozhat egy látszólag ártalmatlan nevű OAuth-alkalmazást, elkerülve az észlelést, és lehetővé teheti az adatok hosszú távú elérését anélkül, hogy fiókra lenne szükség. Ez a módszer gyakran látható a nemzetállami támadások.

Íme néhány lépés a további vizsgálathoz.

Ellenőrizze a Microsoft 365 Egyesített naplózási naplóját (UAL) az elmúlt hét nap adathalászati jelzéseit illetően

Néha, amikor a támadók rosszindulatú vagy feltört alkalmazásokat használnak az adatmegőrzés vagy az adatok kiszűrésére, adathalászati kampány történik. Az előző lépések eredményei alapján érdemes áttekinteni a következő identitásokat:

  • Alkalmazástulajdonosok
  • Hozzájárulási rendszergazdák

Tekintse át az identitásokat az adathalász támadások jelzéseiért az elmúlt 24 órában. Ha nincs azonnali jelzés, növelje ezt az időtartamot 7, 14 és 30 napra. Részletes adathalászati vizsgálati forgatókönyvért tekintse meg az adathalászati nyomozás forgatókönyvét.

Rosszindulatú alkalmazás-hozzájárulások keresése az elmúlt hét napban

Ha egy alkalmazást szeretne hozzáadni egy bérlőhöz, a támadók meghamisítással hamisítást kapnak a felhasználóktól vagy rendszergazdáktól, hogy hozzájáruljanak az alkalmazásokhoz. Ha többet szeretne megtudni a támadás jeleiről, tekintse meg az Alkalmazás-hozzájárulás engedélyezése vizsgálati forgatókönyvet.

Naplók ellenőrzése

Az alkalmazás összes hozzájárulási engedélyének megtekintéséhez szűrje a tevékenység szűrését az alkalmazáshoz való hozzájárulás alapján.

  • A Microsoft Entra Felügyeleti központ naplózási naplóinak használata

  • A Naplók lekérdezése a Microsoft Graph használatával

    a) Szűrjön egy adott időkeretre:

GET https://graph.microsoft.com/v1.0/auditLogs/auditLogs/directoryAudits?&$filter=activityDateTime le 2022-01-24

b) Szűrje a naplózási naplókat a "Hozzájárulás az alkalmazásokhoz" naplózási naplóbejegyzésekhez:

https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?directoryAudits?$filter=ActivityType eq 'Consent to application'


"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/directoryAudits",
"value": [
    {
        "id": "Directory_0da73d01-0b6d-4c6c-a083-afc8c968e655_78XJB_266233526",
        "category": "ApplicationManagement",
        "correlationId": "0da73d01-0b6d-4c6c-a083-afc8c968e655",
        "result": "success",
        "resultReason": "",
        "activityDisplayName": "Consent to application",
        "activityDateTime": "2022-03-25T21:21:37.9452149Z",
        "loggedByService": "Core Directory",
        "operationType": "Assign",
       "initiatedBy": {
            "app": null,
            "user": {
                "id": "8b3f927e-4d89-490b-aaa3-e5d4577f1234",
                "displayName": null,
                "userPrincipalName": "admin@contoso.com",
                "ipAddress": "55.154.250.91",
                "userType": null,
                "homeTenantId": null,
                "homeTenantName": null
            }
        },
        "targetResources": [
            {
                "id": "d23d38a1-02ae-409d-884c-60b03cadc989",
                "displayName": "Graph explorer (official site)",
                "type": "ServicePrincipal",
                "userPrincipalName": null,
                "groupType": null,
                "modifiedProperties": [
                    {
                        "displayName": "ConsentContext.IsAdminConsent",
                        "oldValue": null,
                        "newValue": "\"True\""
                    },

c) A Log Analytics használata

AuditLogs
| where ActivityDisplayName == "Consent to application"

További információ: Application Consent Grant Investigation Forgatókönyv.

A felhasználók engedélyezhetik, hogy az alkalmazások hozzáférjenek bizonyos adatokhoz a védett erőforráson, miközben felhasználóként működnek. Az ilyen típusú hozzáférést engedélyező engedélyeket "delegált engedélyeknek" vagy felhasználói hozzájárulásnak nevezzük.

A felhasználók által elfogadott alkalmazások megkereséséhez használja a LogAnalytics szolgáltatást az auditnaplókban való kereséshez:

AuditLogs
| where ActivityDisplayName == "Consent to application" and (parse_json(tostring(parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue)) <> "True")

Ellenőrizze az auditnaplókat, hogy a megadott engedélyek túl szélesek-e (bérlői szintű vagy rendszergazdai hozzájárulással rendelkező)

Az alkalmazásnak vagy szolgáltatásnévnek adott engedélyek áttekintése időigényes feladat lehet. Kezdje a Microsoft Entra ID potenciálisan kockázatos engedélyeinek megismerésével.

Most kövesse az útmutatót az engedélyek számbavételéhez és áttekintéséhez az alkalmazás-hozzájárulás megadásának vizsgálatában.

Ellenőrizze, hogy az engedélyeket olyan felhasználói identitások adták-e meg, amelyeknek nem kellett volna ezt megtenniük, vagy hogy a műveleteket furcsa időpontokban és időpontokban hajtották-e végre

Tekintse át az auditnaplók használatával:

AuditLogs
| where OperationName == "Consent to application" 
//| where parse_json(tostring(TargetResources[0].modifiedProperties))[4].displayName == "ConsentAction.Permissions"

Használhatja a Microsoft Entra naplózási naplóit is, amelyeket az alkalmazás hozzájárulásával szűrhet. A Napló részletei szakaszban kattintson a Módosított tulajdonságok elemre, majd tekintse át az ConsentAction.Permissions elemet:

Képernyőkép a Microsoft Entra naplózási naplóinak használatáról.

Elszigetelési lépések

Ha egy vagy több alkalmazás vagy számítási feladat identitását rosszindulatúként vagy sérültként azonosítja, előfordulhat, hogy nem szeretné azonnal az alkalmazás hitelesítő adatait begördíteni, és nem szeretné azonnal törölni az alkalmazást.

Fontos

A következő lépés végrehajtása előtt a szervezetnek mérlegelnie kell az alkalmazások letiltásának biztonsági és üzleti hatását. Ha az alkalmazás letiltásának üzleti hatása túl nagy, akkor fontolja meg a folyamat helyreállítási szakaszának előkészítését és áthelyezését.

Sérült alkalmazás letiltása

Egy tipikus elszigetelési stratégia magában foglalja a bejelentkezések letiltását az azonosított alkalmazásba, hogy időt adjon az incidenskezelési csapatnak vagy az érintett üzleti egységnek a törlés vagy kulcsgördülés hatásának kiértékeléséhez. Ha a vizsgálat azt feltételezi, hogy a rendszergazdai fiók hitelesítő adatai is sérülnek, az ilyen típusú tevékenységeket egy kiürítési eseménysel kell összehangolni, hogy a bérlőhöz való hozzáféréshez szükséges összes útvonal egyidejűleg le legyen vágva.

Képernyőkép a felhasználói bejelentkezés letiltásáról.

Az alábbi Microsoft Graph PowerShell-kóddal is letilthatja az alkalmazásba való bejelentkezést:

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"

if ($servicePrincipal) {
   # Service principal exists already, disable it

  $ServicePrincipalUpdate =@{
    "accountEnabled" = "false"
  }
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -BodyParameter $ServicePrincipalUpdate
   
} else {
   # Service principal does not yet exist, create it and disable it at the same time
   
   $ServicePrincipalID=@{
	"AppId" = $appId
	"accountEnabled" = "false"
   }
   
   $servicePrincipal = New-MgServicePrincipal -BodyParameter $ServicePrincipalId
   
}

Helyreállítási lépések

Szolgáltatásnevek szervizelése

  1. Listázhatja a kockázatos szolgáltatásnévhez rendelt összes hitelesítő adatot. Ennek legjobb módja egy Microsoft Graph-hívás végrehajtása a GET ~/application/{id} használatával, ahol az átadott azonosító az alkalmazás objektumazonosítója.

    • A hitelesítő adatok kimenetének elemzése. A kimenet tartalmazhat jelszó-hitelesítő adatokat vagy kulcs hitelesítő adatokat. Jegyezze fel az összes kulcsazonosítót.

      "keyCredentials": [],
     "parentalControlSettings": {
         "countriesBlockedForMinors": [],
         "legalAgeGroupRule": "Allow"
     },
     "passwordCredentials": [
         {
             "customKeyIdentifier": null,
             "displayName": "Test",
             "endDateTime": "2021-12-16T19:19:36.997Z",
             "hint": "7~-",
             "keyId": "9f92041c-46b9-4ebc-95fd-e45745734bef",
             "secretText": null,
             "startDateTime": "2021-06-16T18:19:36.997Z"
         }
     ],

  2. Adjon hozzá egy új (x509) tanúsítvány hitelesítő adatokat az alkalmazásobjektumhoz az addKey API használatával.

    POST ~/applications/{id}/addKey

  3. Azonnal távolítsa el az összes régi hitelesítő adatot. Minden régi jelszó hitelesítő adataihoz távolítsa el a következő használatával:

    POST ~/applications/{id}/removePassword

    Minden régi kulcs hitelesítő adataihoz távolítsa el a következő használatával:

    POST ~/applications/{id}/removeKey

  4. Az alkalmazáshoz társított összes szolgáltatásnév szervizelése. Kövesse ezt a lépést, ha a bérlő több-bérlős alkalmazást üzemeltet/regisztrál, és/vagy regisztrálja az alkalmazáshoz társított több szolgáltatásnevet. Hajtsa végre a korábban felsoroltakhoz hasonló lépéseket:

  • GET ~/servicePrincipals/{id}

  • Keresse meg a jelszó hitelesítő adatait és a kulcs hitelesítő adatait a válaszban, rögzítse az összes régi kulcsazonosítót

  • Távolítsa el az összes régi jelszót és kulcsot. Használat:

    POST ~/servicePrincipals/{id}/removePassword and POST ~/servicePrincipals/{id}/removeKey for this, respectively.

Az érintett szolgáltatásnév-erőforrások szervizelése

A Kulcsvault-titkos kulcsok szervizelése, amelyekhez a szolgáltatásnév hozzáfér, az alábbi prioritás szerint:

  • GetSecret-hívásokkal közvetlenül közzétett titkos kódok.
  • A többi titkos kulcs a feltárt KeyVaults.
  • A többi titkos kód a közzétett előfizetések között.

További információ: Szolgáltatásnév vagy alkalmazás tanúsítványainak és titkos kulcsainak interaktív eltávolítása és átgördülése.

A Microsoft Entra SecOps alkalmazásokkal kapcsolatos útmutatását az Alkalmazásokhoz készült Microsoft Entra biztonsági üzemeltetési útmutatóban találja.

A prioritás sorrendjében ez a forgatókönyv a következő lenne:

  • Frissítse a Graph PowerShell-parancsmagokat (ApplicationKey + ApplicationPassword hozzáadása/eltávolítása) tartalmazó dokumentumot, hogy példákat tartalmazzon a hitelesítő adatok átgördítésére.
  • Egyéni parancsmagok hozzáadása a Microsoft Graph PowerShellhez, amely leegyszerűsíti ezt a forgatókönyvet.

Rosszindulatú alkalmazások letiltása vagy törlése

Egy alkalmazás letiltható vagy törölhető. Az alkalmazás letiltásához vigye a kapcsolót a Nem gombra a felhasználók bejelentkezésének engedélyezése csoportban.

Az alkalmazást ideiglenesen vagy véglegesen törölheti az Azure Portalon vagy a Microsoft Graph API-n keresztül. Ha helyreállítható a törlés, az alkalmazás a törlést követő 30 napon belül helyreállítható.

DELETE /applications/{id}

Az alkalmazás végleges törléséhez használja ezt a Microsoft Graph API-hívást:

DELETE /directory/deletedItems/{id}

Ha letiltja vagy helyreállíthatóan törli az alkalmazást, állítson be monitorozást a Microsoft Entra auditnaplóiban, hogy megtudja, az állapot visszaáll-e az engedélyezett vagy helyreállított állapotra.

Naplózás engedélyezve:

  • Szolgáltatás – Core Directory
  • Tevékenység típusa – Szolgáltatásnév frissítése
  • Kategória – Alkalmazáskezelés
  • Kezdeményezője (színész) – A színész UPN-je
  • Célok – Alkalmazásazonosító és megjelenítendő név
  • Módosított tulajdonságok – Tulajdonság neve = fiók engedélyezve, új érték = igaz

A helyreállított naplózás:

  • Szolgáltatás – Core Directory
  • Tevékenység típusa – Szolgáltatásnév hozzáadása
  • Kategória – Alkalmazáskezelés
  • Kezdeményezője (színész) – A színész UPN-je
  • Célok – Alkalmazásazonosító és megjelenítendő név
  • Módosított tulajdonságok – Tulajdonság neve = fiók engedélyezve, új érték = igaz

Feljegyzés

A Microsoft globálisan letiltja azokat az alkalmazásokat, amelyekről kiderült, hogy megsértik a szolgáltatási feltételeit. Ezekben az esetekben ezek az alkalmazások a disabledByMicrosoftStatus Microsoft Graph kapcsolódó alkalmazás- és szolgáltatásnév-erőforrástípusainak tulajdonságán jelennek megDisabledDueToViolationOfServicesAgreement. Ha meg szeretné akadályozni, hogy a jövőben ismét példányosíthassa őket a szervezetben, nem törölheti ezeket az objektumokat.

Az Identity Protection implementálása számítási feladatok identitásaihoz

A Microsoft a bejelentkezési viselkedés és a biztonsági rés offline jelzései között észleli a számítási feladatok identitásainak kockázatát.

További információ: Számítási feladatok identitásainak védelme az Identity Protection használatával.

Ezek a riasztások megjelennek az Identity Protection portálon, és a diagnosztikai beállítások vagy az Identity Protection API-k segítségével exportálhatók SIEM-eszközökbe.

Képernyőkép a kockázatok és riasztások áttekintéséről az Identity Protection portálon.

Feltételes hozzáférés kockázatos számítási feladatok identitásaihoz

A feltételes hozzáférés lehetővé teszi, hogy letiltsa a hozzáférést azoknak a fiókoknak a hozzáférésében, amelyeket az Identity Protection "veszélyeztetettként" jelöl meg. A feltételes hozzáférésen keresztüli kényszerítés jelenleg csak egybérlős alkalmazásokra korlátozódik.

Képernyőkép a felhasználói hozzáférés feltételes hozzáférési szabályzat alapján történő szabályozásáról.

További információ: Feltételes hozzáférés a számítási feladatok identitásaihoz.

Alkalmazáskockázati szabályzatok implementálása

Tekintse át a felhasználói hozzájárulás beállításait a Microsoft Entra ID>Enterprise-alkalmazások>hozzájárulási és engedély-felhasználói>hozzájárulási beállításai között.

Képernyőkép arról, hogyan engedélyezheti a felhasználói hozzájárulást az alkalmazásokhoz.

A konfigurációs beállítások áttekintéséhez tekintse át a felhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető cikket.

Amikor egy alkalmazásfejlesztő átirányítja a felhasználókat a rendszergazdai hozzájárulási végpontra azzal a szándékkal, hogy a teljes bérlő számára hozzájárulást adjon, az úgynevezett rendszergazdai hozzájárulási folyamat. A rendszergazdai hozzájárulási folyamat megfelelő működésének biztosításához az alkalmazásfejlesztőknek az alkalmazásjegyzék RequiredResourceAccess tulajdonságában szereplő összes engedélyt fel kell sorolniuk.

A legtöbb szervezet letiltja, hogy a felhasználók beleegyezhessenek az alkalmazásokba. Annak érdekében, hogy a felhasználók továbbra is engedélyt kérjenek az alkalmazásokhoz, és rendszergazdai felülvizsgálati képességgel rendelkezzenek, ajánlott implementálni a rendszergazdai hozzájárulási munkafolyamatot. A rendszergazdai hozzájárulás munkafolyamatának lépéseit követve konfigurálhatja azt a bérlőben.

A magas jogosultsági szintű műveletek, például a rendszergazdai hozzájárulások esetében az útmutatónkban meghatározott kiemelt hozzáférési stratégiával rendelkezik.

A kockázatalapú lépésenkénti hozzájárulás segít csökkenteni a felhasználók rosszindulatú alkalmazásokkal szembeni kitettségét. Kockázatosnak minősül például az újonnan regisztrált, nem ellenőrzött és nem alapszintű engedélyeket igénylő, újonnan regisztrált több-bérlős alkalmazásokra vonatkozó hozzájárulási kérelmek. Ha kockázatos felhasználói hozzájárulási kérést észlel, a kéréshez a rendszergazdai hozzájáruláshoz "lépésre" van szükség. Ez a felugró funkció alapértelmezés szerint engedélyezve van, de viselkedésváltozást csak akkor eredményez, ha a felhasználói hozzájárulás engedélyezve van.

Győződjön meg arról, hogy engedélyezve van a bérlőben, és tekintse át az itt ismertetett konfigurációs beállításokat.

Hivatkozások

További incidenskezelési forgatókönyvek

Tekintse át az alábbi további támadások azonosítására és kivizsgálására vonatkozó útmutatást:

Incidenskezelési erőforrások