위험한 OAuth 앱 조사 및 수정

OAuth는 토큰 기반 인증 및 권한 부여를 위한 개방형 표준입니다. OAuth를 통해 사용자의 암호를 노출하지 않고 타사 서비스가 사용자의 계정 정보를 사용할 수 있습니다. OAuth는 사용자를 대신하여 중개자로 작동하며 공유할 특정 계정 정보에 권한을 부여하는 액세스 토큰과 함께 서비스를 제공합니다.

예를 들어 사용자의 일정을 분석하고 생산성을 높이는 방법에 대한 조언을 제공하는 앱은 사용자의 일정에 액세스해야 합니다. OAuth는 사용자의 자격 증명을 제공하는 대신 앱이 토큰을 기반으로 데이터에 액세스할 수 있도록 하며, 이는 아래 그림에서 볼 수 있듯이 사용자가 페이지에 동의할 때 생성됩니다.

조직의 비즈니스 사용자가 설치하는 타사 앱 중에는 사용자 정보와 데이터의 사용 권한을 요청하고 사용자 대신 다른 클라우드 앱에 로그인하는 것도 많습니다. 사용자가 이러한 앱을 설치할 때, 응용 프로그램에 사용 권한을 부여하는 내용을 포함한 메시지의 세부 정보를 검토하지 않고 허용을 클릭하는 경우도 많습니다. 타사 앱 권한을 수락하는 것은 조직에 잠재적인 보안 위험입니다.

예를 들어 다음 OAuth 앱 동의 페이지는 일반 사용자에게 합법적인 것처럼 보일 수 있지만 "Google API 탐색기"는 Google 자체에서 권한을 요청할 필요가 없습니다. 따라서 앱이 Google과 전혀 관련이 없는 피싱 시도일 수 있음을 나타냅니다.

보안 관리자는 사용자 환경의 앱에 대한 가시성과 제어가 필요하며, 여기에는 사용 권한이 포함됩니다. 해지하려는 리소스에 대한 권한이 필요한 앱의 사용을 방지하는 기능이 필요합니다. 따라서 클라우드용 Microsoft Defender 앱은 사용자가 부여한 앱 권한을 조사하고 모니터링할 수 있는 기능을 제공합니다. 이 문서는 조직에서 OAuth 앱을 조사하고 더 의심스러운 앱에 집중할 수 있도록 지원하기 위한 목적으로 작성되었습니다.

권장되는 방법은 클라우드용 Defender Apps 포털에서 제공하는 기능 및 정보를 사용하여 앱을 조사하여 위험 가능성이 낮은 앱을 필터링하고 의심스러운 앱에 집중하는 것입니다.

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

• 위험한 OAuth 앱 검색
• 위험 OAuth 앱 조사
• 위험한 OAuth 앱 수정

참고 항목

이 문서에서는 앱 거버넌스를 설정하지 않은 경우 사용되는 OAuth 앱 페이지의 샘플 및 스크린샷을 사용합니다.

미리 보기 기능을 사용하고 앱 거버넌스를 설정한 경우 앱 거버넌스 페이지에서 동일한 기능을 대신 사용할 수 있습니다.

자세한 내용은 클라우드용 Microsoft Defender 앱의 앱 거버넌스를 참조하세요.

위험한 OAuth 앱을 검색하는 방법

다음을 사용하여 위험한 OAuth 앱을 검색할 수 있습니다.

• 경고: 기존 정책에 의해 트리거된 경고에 대응합니다.
• 헌팅: 위험의 구체적인 의심 없이 사용 가능한 모든 앱 중에서 위험한 앱을 검색합니다.

경고를 사용하여 위험한 앱 검색

OAuth 앱이 특정 조건을 충족하는 경우 자동으로 알림을 보내도록 정책을 설정할 수 있습니다. 예를 들어 높은 권한이 필요하고 50명 이상의 사용자가 권한을 부여한 앱이 감지되면 자동으로 알리도록 정책을 설정할 수 있습니다. OAuth 정책을 만드는 방법에 대한 자세한 내용은 OAuth 앱 정책을 참조하세요.

헌팅을 통해 위험한 앱 검색

1. Microsoft Defender 포털의 Cloud Apps에서 OAuth 앱으로 이동합니다. 필터 및 쿼리를 사용하여 사용자 환경에서 발생하는 작업을 검토합니다.

   • 필터를 사용 권한 수준 높은 심각도로 설정하고 커뮤니티 사용은일반적이지 않습니다. 이 필터를 사용하면 사용자가 위험을 과소평가했을 수 있는 매우 위험한 앱에 집중할 수 있습니다.

   • 사용 권한 아래에서 특정 컨텍스트에서 특히 위험한 모든 옵션을 선택합니다. 예를 들어 모든 사서함에 대한 모든 액세스 권한과 같이 전자 메일 액세스 권한을 제공하는 모든 필터를 선택한 다음 앱 목록을 검토하여 모두 실제로 메일 관련 액세스 권한이 필요한지 확인할 수 있습니다. 이렇게 하면 특정 컨텍스트 내에서 조사하고 합법적인 것처럼 보이지만 불필요한 권한이 포함된 앱을 찾는 데 도움이 될 수 있습니다. 이러한 앱은 위험할 가능성이 높습니다.

     

   • 외부 사용자가 승인한 저장된 쿼리 앱을 선택합니다. 이 필터를 사용하여 회사의 보안 표준에 맞지 않을 수 있는 앱을 찾을 수 있습니다.

2. 앱을 검토한 후에는 합법적인 것처럼 보이지만 실제로 위험할 수 있는 쿼리의 앱에 집중할 수 있습니다. 필터를 사용하여 찾을 수 있습니다.

   • 소수의 사용자가 권한을 부여한 앱을 필터링합니다. 이 앱에 집중하면 손상된 사용자가 권한을 부여한 위험한 앱을 찾을 수 있습니다.
   • 앱의 목적과 일치하지 않는 권한이 있는 앱(예: 모든 사서함에 대한 모든 권한이 있는 시계 앱).

3. 각 앱을 선택하여 앱 서랍을 열고 검사 앱에 의심스러운 이름, 게시자 또는 웹 사이트가 있는지 확인합니다.

4. 마지막으로 권한을 부여한 날짜가 최근이 아닌 앱 및 대상 앱의 목록을 확인하세요. 이 앱은 더 이상 필요하지 않습니다.

   

의심스러운 OAuth 앱을 조사하는 방법

앱이 의심스럽고 조사하려는 경우 효율적인 조사를 위해 다음 주요 원칙을 사용하는 것이 좋습니다.

• 앱이 더 일반적이고 사용될수록 조직이나 온라인에서 안전할 가능성이 높아집니다.
• 앱에는 앱의 목적과 관련된 권한만 필요합니다. 그렇지 않은 경우 앱이 위험할 수 있습니다.
• 높은 권한 또는 관리자 동의가 필요한 앱은 위험할 가능성이 높습니다.

1. 앱을 선택하여 앱 서랍을 열고 관련 작업에서 링크를 선택합니다. 이 링크를 클릭하면 앱이 수행한 활동을 필터링하는 활동 로그 페이지가 열립니다. 일부 앱의 경우 사용자가 수행하는 것으로 등록된 활동을 수행합니다. 이 활동은 활동 로그에서 자동으로 필터링으로 제외됩니다. 활동 로그를 사용하여 더 자세히 조사하려면 활동 로그를 참조하세요.
2. 서랍에서 동의 활동을 선택하여 활동 로그에서 앱에 대한 사용자 동의를 조사합니다.
3. 앱이 의심스러운 경우 다른 앱 스토어에서 앱의 이름과 게시자를 조사하는 것이 좋습니다. 의심할 수 있는 다음 앱에 집중합니다.
   • 다운로드 수가 적은 앱.
   • 등급 또는 점수가 낮거나 좋지 않은 의견이 달린 앱.
   • 게시자 또는 웹 사이트가 의심스러운 앱.
   • 마지막 업데이트가 최신이 아닌 앱. 앱이 더 이상 지원되지 않음을 나타낼 수 있습니다.
   • 관련 없는 권한을 보유한 앱. 위험한 앱임을 나타낼 수 있습니다.
4. 앱이 여전히 의심스러운 경우 온라인에서 앱 이름, 게시자, URL을 조사할 수 있습니다.
5. 앱에 권한을 부여한 사용자의 추가 분석을 위해 OAuth 앱 감사를 내보낼 수 있습니다. 자세한 내용은 OAuth 앱 감사를 참조 하세요.

의심스러운 OAuth 앱을 수정하는 방법

OAuth 앱이 위험하다고 판단되면 클라우드용 Defender 앱은 다음과 같은 수정 옵션을 제공합니다.

• 수동 수정: OAuth 앱 페이지에서 앱 해지를 쉽게 금지할 수 있습니다.

• 자동 수정: 앱을 자동으로 해지하거나 앱에서 특정 사용자를 해지하는 정책을 만들 수 있습니다.

다음 단계

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.