Menyelidiki dan memulihkan aplikasi OAuth yang berisiko
OAuth adalah standar terbuka untuk autentikasi dan otorisasi berbasis token. OAuth memungkinkan informasi akun pengguna digunakan oleh layanan pihak ketiga, tanpa mengekspos kata sandi pengguna. OAuth bertindak sebagai perantara atas nama pengguna, menyediakan layanan dengan token akses yang mengotorisasi informasi akun tertentu untuk dibagikan.
Misalnya, aplikasi yang menganalisis kalender pengguna dan memberikan saran tentang cara menjadi lebih produktif, memerlukan akses ke kalender pengguna. Alih-alih memberikan kredensial pengguna, OAuth memungkinkan aplikasi untuk mendapatkan akses ke data hanya berdasarkan token, yang dihasilkan ketika pengguna memberikan persetujuan ke halaman seperti yang dapat dilihat pada gambar di bawah ini.
Banyak aplikasi pihak ketiga yang mungkin diinstal oleh pengguna bisnis di organisasi Anda, meminta izin untuk mengakses informasi dan data pengguna dan masuk atas nama pengguna di aplikasi cloud lainnya. Saat pengguna menginstal aplikasi ini, mereka sering mengklik terima tanpa meninjau detail dalam perintah, termasuk memberikan izin ke aplikasi. Menerima izin aplikasi pihak ketiga adalah potensi risiko keamanan bagi organisasi Anda.
Misalnya, halaman persetujuan aplikasi OAuth berikut mungkin terlihat sah bagi pengguna rata-rata, namun, "Google API Explorer" seharusnya tidak perlu meminta izin dari Google itu sendiri. Jadi ini menunjukkan bahwa aplikasi mungkin merupakan upaya phishing, tidak terkait dengan Google sama sekali.
Sebagai admin keamanan, Anda memerlukan visibilitas dan kontrol atas aplikasi di lingkungan Anda dan yang mencakup izin yang mereka miliki. Anda memerlukan kemampuan untuk mencegah penggunaan aplikasi yang memerlukan izin ke sumber daya yang ingin Anda cabut. Oleh karena itu, Microsoft Defender untuk Cloud Apps memberi Anda kemampuan untuk menyelidiki dan memantau izin aplikasi yang diberikan pengguna Anda. Artikel ini didedikasikan untuk membantu Anda menyelidiki aplikasi OAuth di organisasi Anda, dan fokus pada aplikasi yang lebih mungkin mencurigakan.
Pendekatan yang kami rekomendasikan adalah menyelidiki aplikasi dengan menggunakan kemampuan dan informasi yang disediakan di portal aplikasi Defender untuk Cloud untuk memfilter aplikasi dengan peluang rendah berisiko, dan fokus pada aplikasi yang mencurigakan.
Dalam tutorial ini, Anda akan mempelajari cara:
Catatan
Artikel ini menggunakan sampel dan cuplikan layar dari halaman aplikasi OAuth, yang digunakan saat Anda tidak mengaktifkan tata kelola aplikasi.
Jika Anda menggunakan fitur pratinjau dan mengaktifkan tata kelola aplikasi, fungsionalitas yang sama tersedia dari halaman Tata kelola aplikasi sebagai gantinya.
Untuk informasi selengkapnya, lihat Tata kelola aplikasi di Microsoft Defender untuk Cloud Apps.
Cara mendeteksi aplikasi OAuth berisiko
Mendeteksi aplikasi OAuth berisiko dapat dicapai menggunakan:
- Pemberitahuan: Bereaksi terhadap pemberitahuan yang dipicu oleh kebijakan yang ada.
- Berburu: Cari aplikasi berisiko di antara semua aplikasi yang tersedia, tanpa kecurigaan konkret terhadap risiko.
Mendeteksi aplikasi berisiko menggunakan pemberitahuan
Anda dapat mengatur kebijakan untuk mengirimi Anda pemberitahuan secara otomatis saat aplikasi OAuth memenuhi kriteria tertentu. Misalnya, Anda dapat mengatur kebijakan untuk memberi tahu Anda secara otomatis saat aplikasi terdeteksi yang memerlukan izin tinggi dan diotorisasi oleh lebih dari 50 pengguna. Untuk informasi selengkapnya tentang membuat kebijakan OAuth, lihat Kebijakan aplikasi OAuth.
Mendeteksi aplikasi berisiko dengan berburu
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka aplikasi OAuth. Gunakan filter dan kueri untuk meninjau apa yang terjadi di lingkungan Anda:
Atur filter ke Tingkat izin tingkat keparahan tinggi dan Penggunaan komunitas tidak umum. Dengan menggunakan filter ini, Anda dapat fokus pada aplikasi yang berpotensi sangat berisiko, di mana pengguna mungkin telah meremehkan risiko.
Di bawah Izin pilih semua opsi yang sangat berisiko dalam konteks tertentu. Misalnya, Anda dapat memilih semua filter yang menyediakan izin untuk akses email, seperti Akses penuh ke semua kotak surat lalu meninjau daftar aplikasi untuk memastikan bahwa semuanya benar-benar memerlukan akses terkait email. Ini dapat membantu Anda menyelidiki dalam konteks tertentu, dan menemukan aplikasi yang tampaknya sah, tetapi berisi izin yang tidak perlu. Aplikasi ini lebih mungkin berisiko.
Pilih Aplikasi kueri tersimpan yang diotorisasi oleh pengguna eksternal. Dengan menggunakan filter ini, Anda dapat menemukan aplikasi yang mungkin tidak selaras dengan standar keamanan perusahaan Anda.
Setelah meninjau aplikasi, Anda dapat fokus pada aplikasi dalam kueri yang tampak sah tetapi mungkin berisiko. Gunakan filter untuk menemukannya:
- Filter untuk aplikasi yang Diotorisasi oleh sejumlah kecil pengguna. Jika Anda fokus pada aplikasi ini, Anda dapat mencari aplikasi berisiko yang diotorisasi oleh pengguna yang disusupi.
- Aplikasi yang memiliki izin yang tidak cocok dengan tujuan aplikasi, misalnya, aplikasi jam dengan akses penuh ke semua kotak surat.
Pilih setiap aplikasi untuk membuka laci aplikasi, dan periksa untuk melihat apakah aplikasi memiliki nama, penerbit, atau situs web yang mencurigakan.
Lihat daftar aplikasi dan aplikasi target yang memiliki tanggal di bawah Otorisasi terakhir yang bukan terbaru. Aplikasi ini mungkin tidak lagi diperlukan.
Cara menyelidiki aplikasi OAuth yang mencurigakan
Setelah Anda menentukan bahwa aplikasi mencurigakan dan Anda ingin menyelidikinya, kami merekomendasikan prinsip-prinsip utama berikut untuk penyelidikan yang efisien:
- Semakin umum dan menggunakan aplikasi adalah, baik oleh organisasi Anda atau online, semakin besar kemungkinannya untuk aman.
- Aplikasi hanya boleh memerlukan izin yang terkait dengan tujuan aplikasi. Jika tidak demikian, aplikasi mungkin berisiko.
- Aplikasi yang memerlukan hak istimewa tinggi atau persetujuan admin lebih mungkin berisiko.
- Pilih aplikasi untuk membuka laci aplikasi dan pilih tautan di bawah Aktivitas terkait. Ini membuka halaman Log aktivitas yang difilter untuk aktivitas yang dilakukan oleh aplikasi. Perlu diingat bahwa beberapa aplikasi melakukan aktivitas yang terdaftar sebagai telah dilakukan oleh pengguna. Aktivitas ini secara otomatis difilter dari hasil di log Aktivitas. Untuk penyelidikan lebih lanjut menggunakan log aktivitas, lihat Log aktivitas.
- Di laci, pilih Aktivitas persetujuan untuk menyelidiki persetujuan pengguna ke aplikasi di log aktivitas.
- Jika aplikasi tampak mencurigakan, kami sarankan Anda menyelidiki nama dan penerbit aplikasi di penyimpanan aplikasi yang berbeda. Fokus pada aplikasi berikut, yang mungkin berupa kecurigaan:
- Aplikasi dengan jumlah unduhan yang rendah.
- Aplikasi dengan peringkat atau skor rendah atau komentar buruk.
- Aplikasi dengan penerbit atau situs web yang mencurigakan.
- Aplikasi yang pembaruan terakhirnya bukan terbaru. Ini mungkin menunjukkan aplikasi yang tidak lagi didukung.
- Aplikasi yang memiliki izin yang tidak relevan. Ini mungkin menunjukkan bahwa aplikasi berisiko.
- Jika aplikasi masih mencurigakan, Anda dapat meneliti nama aplikasi, penerbit, dan URL secara online.
- Anda dapat mengekspor audit aplikasi OAuth untuk analisis lebih lanjut tentang pengguna yang mengotorisasi aplikasi. Untuk informasi selengkapnya, lihat Audit aplikasi OAuth.
Cara memulihkan aplikasi OAuth yang mencurigakan
Setelah Anda menentukan bahwa aplikasi OAuth berisiko, Defender untuk Cloud Apps menyediakan opsi remediasi berikut:
Remediasi manual: Anda dapat dengan mudah melarang mencabut aplikasi dari halaman aplikasi OAuth
Remediasi otomatis: Anda dapat membuat kebijakan yang secara otomatis mencabut aplikasi atau mencabut pengguna tertentu dari aplikasi.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.