Изучение путей атак приложений OAuth в Defender for Cloud Apps (предварительная версия)

Управление рисками Microsoft Security помогает эффективно управлять областью атак и рисками раскрытия информации в вашей компании. Объединяя ресурсы и методы, пути атаки иллюстрируют сквозные пути, которые злоумышленники могут использовать для перехода от точки входа в организации к критически важным ресурсам. Microsoft Defender for Cloud Apps наблюдается увеличение числа злоумышленников, использующих приложения OAuth для доступа к конфиденциальным данным в критически важных для бизнеса приложениях, таких как #REF!, #REF!, #REF! и т. д. Для поддержки исследования и устранения рисков эти приложения интегрируются в путь атаки и представления карты направлений атаки в Управление рисками Microsoft Security.

Предварительные условия

Чтобы приступить к работе с функциями пути атаки приложений OAuth в управлении экспозицией, убедитесь, что вы соответствуете следующим требованиям.

• Лицензия Microsoft Defender for Cloud Apps с включенным управлением приложениями.

• Необходимо активировать соединитель приложений Microsoft 365. Сведения о подключении и о том, какие соединители приложений предоставляют рекомендации по безопасности, см. в статье Подключение приложений для получения видимости и контроля с помощью Microsoft Defender for Cloud Apps.

• Необязательно. Чтобы получить полный доступ к данным пути атаки, рекомендуется использовать лицензию на безопасность E5, Лицензию Defender для конечной точки или Defender для удостоверений.

Обязательные роли и разрешения

Чтобы получить доступ ко всем интерфейсам управления экспозицией, вам потребуется роль RBAC или роль Entra ID. Требуется только один.

• Управление экспозицией (чтение) (unified RBAC)

Кроме того, можно использовать одну из следующих ролей Entra ID:

Разрешение	Действия
Администратор безопасности	(разрешения на чтение и запись)
Оператор безопасности	(чтение и ограниченные разрешения на запись)
Глобальное средство чтения	(разрешения на чтение)
Читатель сведений о безопасности	(разрешения на чтение)

Примечание.

В настоящее время доступно только в коммерческих облачных средах. Управление рисками Microsoft Security данные и возможности в настоящее время недоступны в облаках правительства США : GCC, GCC High, DoD и China Gov.

Управление критическими ресурсами — субъекты-службы

Microsoft Defender for Cloud Apps определяет набор критически важных разрешений OAuth. Приложения OAuth с этими разрешениями считаются высокоценными ресурсами. В случае компрометации злоумышленник может получить высокие привилегии для приложений SaaS. Чтобы отразить этот риск, пути атаки рассматривают субъекты-службы с этими разрешениями как целевые цели.

Просмотр разрешений для критически важных ресурсов

Чтобы просмотреть полный список разрешений, перейдите на портал Microsoft Defender и выберите Параметры > #REF! > правила > Критическое управление ресурсами.

Поток исследования пользователя: просмотр путей атаки с участием приложений OAuth

Когда вы поймете, какие разрешения представляют собой высокоценные целевые объекты, выполните следующие действия, чтобы изучить, как эти приложения отображаются в путях атак вашей среды. Для небольших организаций с управляемым количеством путей атаки рекомендуется использовать такой структурированный подход для изучения каждого пути атаки:

Примечание.

Приложения OAuth отображаются в схеме направлений атаки только при обнаружении определенных условий.
Например, приложение OAuth может появиться в пути атаки при обнаружении уязвимого компонента с легко эксплуатируемой точкой входа. Эта точка входа позволяет выполнять боковое перемещение к субъектам-службам с высокими привилегиями.

1. Перейдите к разделу Атаки с целью > управления > атаками.

2. Фильтрация по типу целевого объекта: субъект-служба AAD

   

3. Выберите путь атаки под названием "Устройство с уязвимостями с высоким уровнем серьезности разрешает боковое перемещение к субъекту-службе с конфиденциальными разрешениями".

   

4. Нажмите кнопку Просмотреть на карте, чтобы увидеть путь атаки.

   

5. Выберите знак +, чтобы развернуть узлы и просмотреть подробные подключения.

   

6. Наведите указатель мыши или выберите узлы и ребра, чтобы просмотреть дополнительные данные, например разрешения, которые имеет приложение OAuth.

   

7. Скопируйте имя приложения OAuth и вставьте его в строку поиска на странице Приложения.

   

8. Выберите имя приложения, чтобы просмотреть назначенные разрешения и аналитические сведения об использовании, включая сведения о том, активно ли используются разрешения с высоким уровнем привилегий.

   

9. Необязательно. Если вы определили, что приложение OAuth должно быть отключено, его можно отключить на странице Приложения.

Пользовательский поток для принятия решений: определение приоритета пути атаки с помощью точек задуша

Для крупных организаций с многочисленными путями атак, которые не могут быть изучены вручную, рекомендуется использовать данные о путях атаки и использовать интерфейс Choke Points в качестве средства определения приоритетов. Такой подход позволяет:

• Определите ресурсы, связанные с наиболее распространенными путями атак.
• Принимать обоснованные решения о том, какие ресурсы следует приоритизировать для исследования.
• Отфильтруйте по #REF! приложения OAuth, чтобы узнать, какие приложения OAuth участвуют в большинстве путей атак.
• Определите, к каким приложениям OAuth следует применять разрешения с наименьшими привилегиями.

Для начала сделайте следующее:

1. Перейдите на страницу Пути атаки с точками > задыха.

   

2. Выберите имя точки удушья, чтобы просмотреть дополнительные сведения о основных путях атаки, таких как имя, точка входа и цель.

3. Щелкните Просмотреть радиус взрыва, чтобы дополнительно исследовать точку удушья на карте поверхности атаки.

Если точка удушья является приложением OAuth, продолжайте исследование на странице Приложения, как описано в шагах 7–9 выше.

Анализ карты направлений атак и поиск с помощью запросов

На карте направлений атаки можно увидеть подключения из принадлежащих пользователю приложений, приложений OAuth и субъектов-служб. Эти данные о связях доступны в:

• Таблица ExposureGraphEdges (показаны подключения)

• Таблица ExposureGraphNodes (содержит свойства узла, такие как разрешения)

Используйте следующий запрос Advanced Hunting, чтобы определить все приложения OAuth с критическими разрешениями:

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

Дальнейшие действия

Дополнительные сведения см. в указанных ниже статьях.

• Управление приложениями в Microsoft Defender for Cloud Apps

• Общие сведения об управлении атаками

• Общие сведения о путях атаки