Oppdage og utbedre ulovlige samtykketilskudd

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Sammendrag Finn ut hvordan du gjenkjenner og utbedrer det ulovlige samtykket som gir angrep i Microsoft 365.

Hva er det ulovlige samtykketildelingsangrepet i Microsoft 365?

I et ulovlig samtykketildelingsangrep oppretter angriperen et Azure-registrert program som ber om tilgang til data, for eksempel kontaktinformasjon, e-post eller dokumenter. Angriperen lurer deretter en sluttbruker til å gi dette programmet samtykke til å få tilgang til dataene sine enten gjennom et phishing-angrep, eller ved å injisere ulovlig kode i et klarert nettsted. Etter at den ulovlige søknaden er gitt samtykke, har den tilgang på kontonivå til data uten behov for en organisasjonskonto. Normale utbedringstrinn (for eksempel tilbakestilling av passord eller krav om godkjenning med flere faktorer (MFA)) er ikke effektive mot denne typen angrep, fordi disse appene er eksterne for organisasjonen.

Disse angrepene bruker en samhandlingsmodell som antar at enheten som kaller informasjonen, er automatisering og ikke et menneske.

Viktig

Mistenker du at du har problemer med ulovlige samtykketilskudd fra en app akkurat nå? Microsoft Defender for Cloud Apps har verktøy for å oppdage, undersøke og utbedre OAuth-appene dine. Denne Defender for Cloud Apps artikkelen har en opplæring som beskriver hvordan du undersøker risikable OAuth-apper. Du kan også angi OAuth-apppolicyer for å undersøke app-forespurte tillatelser, hvilke brukere som godkjenner disse appene, og godkjenne eller forby disse tillatelsesforespørslene.

Hvordan ser et ulovlig samtykke til angrep ut i Microsoft 365?

Du må søke i revisjonsloggen for å finne skilt, også kalt Indikatorer for kompromiss (IOC) av dette angrepet. For organisasjoner med mange Azure-registrerte programmer og en stor brukerbase, er anbefalt fremgangsmåte å se gjennom organisasjonens samtykketilskudd ukentlig.

Fremgangsmåte for å finne tegn på dette angrepet

1. Åpne Microsoft Defender-portalen påhttps://security.microsoft.com, og velg deretter Overvåking. Hvis du vil gå direkte til siden Overvåking, kan du bruke https://security.microsoft.com/auditlogsearch.

2. Kontroller at søk-fanen er valgt på overvåkingssiden, og konfigurer deretter følgende innstillinger:

   • Dato- og klokkeslettintervall
   • Aktiviteter: Kontroller at Vis resultater for alle aktiviteter er valgt.

   Når du er ferdig, velger du Søk.

3. Velg Aktivitet-kolonnen for å sortere resultatene og se etter Samtykke til program.

4. Velg en oppføring fra listen for å se detaljene for aktiviteten. Kontroller om IsAdminConsent er satt til Sann.

Obs!

Det kan ta fra 30 minutter til 24 timer før den tilsvarende oppføringen i overvåkingsloggen vises i søkeresultatene etter at en hendelse inntreffer.

Hvor lenge en overvåkingspost beholdes og søkes i overvåkingsloggen, avhenger av Microsoft 365-abonnementet, og spesifikt hvilken type lisens som er tilordnet til en bestemt bruker. Hvis du vil ha mer informasjon, kan du se overvåkingsloggen.

Verdien er sann angir at noen med global administratortilgang kan ha gitt bred tilgang til data. Hvis denne verdien er uventet, må du utføre trinn for å bekrefte et angrep.

Slik bekrefter du et angrep

Hvis du har én eller flere forekomster av IOCene som tidligere var oppført, må du utføre ytterligere undersøkelser for å bekrefte at angrepet skjedde positivt. Du kan bruke en av disse tre metodene til å bekrefte angrepet:

• Lagerprogrammer og deres tillatelser ved hjelp av Microsoft Entra administrasjonssenter. Denne metoden er grundig, men du kan bare kontrollere én bruker om gangen som kan være svært tidkrevende hvis du har mange brukere å sjekke.
• Lagerprogrammer og deres tillatelser ved hjelp av PowerShell. Dette er den raskeste og mest grundige metoden, med minst mulig kostnader.
• Be brukerne enkeltvis kontrollere appene og tillatelsene sine og rapportere resultatene tilbake til administratorene for utbedring.

Lagerapper med tilgang i organisasjonen

Du har følgende alternativer for lagerapper for brukerne:

• Det Microsoft Entra administrasjonssenter.
• PowerShell.
• La brukerne liste opp sin egen programtilgang individuelt.

Fremgangsmåte for bruk av Microsoft Entra administrasjonssenter

Du kan slå opp programmene som enhver enkeltbruker har gitt tillatelse til ved hjelp av Microsoft Entra administrasjonssenter:

1. Åpne Microsoft Entra administrasjonssenter på https://entra.microsoft.com, og gå deretter til Identitetsbrukere>>Alle brukere. Du kan også gå direkte til Brukere>alle brukere ved å bruke https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
2. Finn og velg brukeren du vil se gjennom, ved å klikke visningsnavnverdien .
3. Velg Programmer på siden med brukerdetaljer som åpnes.

Disse trinnene viser appene som er tilordnet til brukeren, og hvilke tillatelser programmene har.

Fremgangsmåte for å få brukerne til å liste opp programtilgangen

Få brukerne til å gå til https://myapps.microsoft.com og se gjennom sin egen programtilgang der. De skal kunne se alle appene med tilgang, vise detaljer om dem (inkludert tilgangsomfanget), og kunne tilbakekalle rettigheter til mistenkelige eller ulovlige apper.

Trinn i PowerShell

Den enkleste måten å verifisere angrepet på illegalt samtykketilskudd på, er å kjøre Get-AzureADPSPermissions.ps1, som dumper alle OAuth-samtykketilskuddene og OAuth-appene for alle brukere i leieforholdet i én .csv fil.

Forutsetninger

• PowerShell-biblioteket Azure AD installert.
• Tillatelser for global administrator i organisasjonen der skriptet kjøres.
• Lokale administratortillatelser på datamaskinen der du kjører skriptene.

Viktig

Vi anbefaler på det sterkeste at du krever godkjenning med flere faktorer på administratorkontoen. Dette skriptet støtter MFA-godkjenning.

Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Obs!

Azure AD Powershell er planlagt for nedgradering 30. mars 2024. Hvis du vil ha mer informasjon, kan du lese avskrivingsoppdateringen.

Vi anbefaler at du overfører til Microsoft Graph PowerShell for å samhandle med Microsoft Entra ID (tidligere Azure AD). Microsoft Graph PowerShell gir tilgang til alle Microsoft Graph API-er og er tilgjengelig på PowerShell 7. Hvis du vil ha svar på vanlige overføringsspørringer, kan du se vanlige spørsmål om overføring.

1. Logg deg på datamaskinen der du vil kjøre skriptene med lokale administratorrettigheter.

2. Last ned eller kopier Get-AzureADPSPermissions.ps1 skriptet fra GitHub til en mappe som er enkel å finne og huske. Denne mappen er også der du må skrive utdatafilen «permissions.csv» er skrevet.

3. Åpne en hevet PowerShell-økt som administrator i mappen der du lagret skriptet.

4. Koble til katalogen ved hjelp av cmdleten Connect-MgGraph .

5. Kjør denne PowerShell-kommandoen:

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

Skriptet produserer én fil med navnet Permissions.csv. Følg disse trinnene for å se etter ulovlige søknadstillatelsestilskudd:

1. Søk etter verdien «AllPrinciples» i ConsentType-kolonnen (kolonne G). AllPrincipals-tillatelsen gir klientprogrammet tilgang til alles innhold i leier. Opprinnelige Microsoft 365-programmer trenger denne tillatelsen for å fungere riktig. Alle programmer som ikke er Fra Microsoft med denne tillatelsen, bør gjennomgås nøye.

2. Se gjennom tillatelsene som hvert delegerte program har til innhold, i tillatelseskolonnen (kolonne F). Se etter tillatelsen «Les» og «Skriv» eller «Alle», og se nøye gjennom disse tillatelsene, fordi de kanskje ikke passer.

3. Se gjennom de bestemte brukerne som har gitt samtykke. Hvis brukere med høy profil eller høy verdi har gitt upassende samtykke, bør du undersøke nærmere.

4. Se etter apper som virker mistenkelige, i ClientDisplayName-kolonnen (kolonne C). Apper med feilstavede navn, superbørlige navn eller hacker-lydende navn bør gjennomgås nøye.

Fastslå omfanget av angrepet

Når du er ferdig med å lagre programtilgang, kan du se gjennom overvåkingsloggen for å fastslå hele omfanget av bruddet. Søk på de berørte brukerne, tidsrammene som den ulovlige applikasjonen hadde tilgang til organisasjonen din, og tillatelsene appen hadde. Du kan søke i overvåkingsloggen i Microsoft Defender-portalen.

Viktig

Overvåking av postboks og aktivitetsovervåking for administratorer og brukere må ha blitt aktivert før angrepet for at du skal få denne informasjonen.

Slik stopper og utbedrer du et ulovlig samtykketildelingsangrep

Etter at du har identifisert programmet med ulovlige tillatelser, har du flere måter å fjerne denne tilgangen på:

• Du kan oppheve programmets tillatelse i Microsoft Entra administrasjonssenter ved å gjøre følgende:

  1. Åpne Microsoft Entra administrasjonssenter på https://entra.microsoft.com, og gå deretter til Identitetsbrukere>>Alle brukere. Du kan også gå direkte til Brukere>alle brukere ved å bruke https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Finn og velg den berørte brukeren ved å klikke visningsnavnverdien .
  3. Velg Programmer på siden med brukerdetaljer som åpnes.
  4. Velg den ulovlige applikasjonen på Programmer-siden ved å klikke på Navn-verdien .
  5. Velg Fjern på oppgavedetaljsiden som åpnes.

• Du kan tilbakekalle OAuth-samtykketilskuddet med PowerShell ved å følge trinnene i Remove-MgOauth2PermissionGrant

• Du kan tilbakekalle rolletildelingen for tjenesteappen med PowerShell ved å følge trinnene i Remove-MgServicePrincipalAppRoleAssignment.

• Du kan deaktivere pålogging for den berørte kontoen, som deaktiverer tilgang til data i kontoen av appen. Denne handlingen er ikke ideell for brukerproduktivitet, men det kan være en kortsiktig utbedring for raskt å begrense resultatene av angrepet.

• Du kan deaktivere integrerte programmer i organisasjonen. Denne handlingen er drastisk. Selv om det hindrer brukere fra å gi tilgang til en skadelig app ved et uhell, hindrer den også alle brukere i å gi samtykke til programmer. Vi anbefaler ikke denne handlingen fordi den svekker brukerproduktiviteten med tredjepartsprogrammer. Du kan slå av integrerte apper ved å følge trinnene i aktivering eller deaktivering av integrerte apper.

Se også

• Programmer som er oppført i Enterprise-programmer , veileder administratorer gjennom ulike handlinger de kanskje vil utføre etter å ha innsett at det finnes uventede programmer med tilgang til data.
• Hurtigstart: Registrer et program med Microsofts identitetsplattform er en overordnet oversikt over samtykke og tillatelser.
• Konfigurer policyer for tokenlevetid gir koblinger til ulike samtykkerelaterte artikler.
• Program- og tjenestekontohaverobjekter i Microsoft Entra ID gir en oversikt over program- og tjenestekontohaverobjektene som er kjernen i programmodellen.
• Administrer tilgang til et program er en oversikt over funksjonene som administratorer har til å administrere brukertilgang til apper.