Onderzoek naar app-toestemming verlenen

Dit artikel bevat richtlijnen voor het identificeren en onderzoeken van app-toestemmingsaanvallen, het beveiligen van informatie en het minimaliseren van verdere risico's.

Dit artikel bevat de volgende secties:

  • Vereisten: behandelt de specifieke vereisten die u moet voltooien voordat u het onderzoek start. Logboekregistratie die bijvoorbeeld moet worden ingeschakeld, rollen en machtigingen die vereist zijn, zijn onder andere vereist.
  • Werkstroom: Toont de logische stroom die u moet volgen om dit onderzoek uit te voeren.
  • Controlelijst: Bevat een lijst met taken voor elk van de stappen in het stroomdiagram. Deze controlelijst kan nuttig zijn in sterk gereglementeerde omgevingen om de stappen te controleren die u hebt genomen of gewoon als een kwaliteitspoort voor uzelf.
  • Onderzoeksstappen: Bevat een gedetailleerde stapsgewijze handleiding voor dit specifieke onderzoek.
  • Herstel: bevat stappen op hoog niveau voor het herstellen/beperken van een aanval op het verlenen van illegale toepassingstoestemming.
  • Verwijzingen: Bevat meer lees- en referentiemateriaal.

Vereisten

Hier volgen algemene instellingen en configuraties die u moet voltooien om een onderzoek uit te voeren voor toepassingstoestemmingstoekenningen. Voordat u begint met het onderzoek, moet u lezen over de typen toestemmingsmachtigingen die worden uitgelegd in machtigingstypen voor toestemming.

Klantgegevens

U hebt de volgende gegevens nodig om het onderzoeksproces te starten:

  • Toegang tot de tenant als een globaal Beheer - een cloudaccount (geen onderdeel van hun on-premises omgeving)
  • Details van indicatoren van inbreuk (IoC's)
  • De datum en tijd waarop u het incident hebt opgemerkt
  • Datumbereik
  • Aantal gecompromitteerde accounts
  • Namen van gecompromitteerde accounts
  • Rollen van het gecompromitteerde account
  • Zijn de accounts zeer bevoegd (GA Microsoft Exchange, SharePoint)?
  • Zijn er bedrijfstoepassingen die zijn gerelateerd aan het incident?
  • Hebben gebruikers namens hen een rapport gedaan over toepassingen die machtigingen voor gegevens aanvragen?

Systeemvereisten

Zorg ervoor dat u voldoet aan de volgende installaties en configuratievereisten:

  1. De AzureAD PowerShell-module is geïnstalleerd.
  2. U hebt globale beheerdersrechten voor de tenant waarop het script wordt uitgevoerd.
  3. U krijgt de lokale beheerdersrol toegewezen op de computer die u gebruikt om de scripts uit te voeren.

Notitie

Azure AD Powershell is gepland voor afschaffing op 30 maart 2024. Lees de afschaffingsupdate voor meer informatie.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Microsoft Graph PowerShell biedt toegang tot alle Microsoft Graph API's en is beschikbaar in PowerShell 7. Zie de veelgestelde vragen over migratie voor antwoorden op veelvoorkomende migratiequery's.

De AzureAD-module installeren

Gebruik deze opdracht om de AzureAD-module te installeren.

Install-Module -Name AzureAD -Verbose

Notitie

Als u wordt gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats, typt u Y en drukt u op Enter.

De MSOnline PowerShell-module installeren

  1. Voer de Windows PowerShell-app uit met verhoogde bevoegdheden (als administrator uitvoeren).

  2. Voer deze opdracht uit om PowerShell toe te staan ondertekende scripts uit te voeren.

    Set-ExecutionPolicy RemoteSigned
    
  3. Installeer de MSOnline-module met deze opdracht.

    Install-Module -Name MSOnline -Verbose
    

    Notitie

    Als u wordt gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats, typt u Y en drukt u op Enter.

Het AzureADPSPermissions-script downloaden van GitHub

  1. Download het Get-AzureADPSPermissions.ps1-script van GitHub naar een map waaruit u het script uitvoert. Het uitvoerbestand 'permissions.csv' wordt ook naar dezelfde map geschreven.

  2. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  3. Verbinding maken naar uw directory met behulp van de Connect-AzureAD cmdlet. Dit is een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  4. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

    Verbreek uw AzureAD-sessie met deze opdracht.

    Disconnect-AzureAD
    

Toestemming is het proces van het verlenen van autorisatie aan een toepassing voor toegang tot beveiligde resources namens de gebruikers. Een beheerder of gebruiker kan om toestemming worden gevraagd om toegang tot hun organisatie/afzonderlijke gegevens toe te staan.

Een toepassing krijgt toegang tot gegevens op basis van een bepaalde gebruiker of voor de hele organisatie. Aanvallers kunnen deze toestemmingen misbruiken om persistentie te krijgen voor de omgeving en toegang te krijgen tot gevoelige gegevens. Deze soorten aanvallen worden illegale toestemmingstoekenningen genoemd. Dit kan gebeuren via een phishing-e-mail, een gebruikersaccount dat inbreuk maakt via wachtwoordspray of wanneer een aanvaller een toepassing registreert als een legitieme gebruiker. In scenario's waarin een Global Beheer-account is gecompromitteerd, zijn de registratie en toestemming voor tenantbreed en niet alleen voor één gebruiker.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn postvak, maar kan geen toestemming geven om een app ongefettereerde toegang te geven tot lezen en schrijven naar alle bestanden in uw organisatie.

Notitie

Door gebruikers toe te staan apps toegang te verlenen tot gegevens, kunnen gebruikers eenvoudig nuttige toepassingen verkrijgen en productief zijn. In sommige situaties kan deze configuratie echter een risico vormen als deze niet wordt bewaakt en zorgvuldig wordt gecontroleerd.

Als u tenantbrede beheerderstoestemming wilt verlenen, moet u zich aanmelden als een van de volgende opties:

  • Hoofdbeheerder
  • Toepassingsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheer istrator - Geeft aan dat de toestemming is verstrekt door de beheerder (namens de organisatie)
  • Individuele gebruiker - Geeft aan dat de toestemming is verleend door de gebruiker en alleen toegang heeft tot de gegevens van die gebruiker
  • Geaccepteerde waarden
    • AllPrincipals - Toestemming gegeven door een beheerder voor de volledige tenancy
    • Principal : toestemming gegeven door de afzonderlijke gebruiker voor gegevens die alleen betrekking hebben op dat account

De werkelijke gebruikerservaring van het verlenen van toestemming verschilt, afhankelijk van het beleid dat is ingesteld op de tenant van de gebruiker, het bereik van de gebruiker van autoriteit (of rol) en het type machtigingen dat is aangevraagd door de clienttoepassing. Dit betekent dat toepassingsontwikkelaars en tenantbeheerders enige controle hebben over de toestemmingservaring. Beheer beschikt over de flexibiliteit van het instellen en deactiveren van beleid voor een tenant of app om de toestemmingservaring in hun tenant te beheren. Toepassingsontwikkelaars kunnen dicteren welke typen machtigingen worden aangevraagd en of ze gebruikers willen begeleiden via de gebruikerstoestemmingsstroom of de beheerderstoestemmingsstroom.

  • Stroom voor gebruikerstoestemming : wanneer een toepassingsontwikkelaar gebruikers omwijst naar het autorisatie-eindpunt met de intentie om alleen toestemming voor de huidige gebruiker vast te leggen.

  • Beheer toestemmingsstroom: wanneer een toepassingsontwikkelaar gebruikers omwijst naar het eindpunt voor beheerderstoestemming met de intentie om toestemming voor de hele tenant vast te leggen. Om ervoor te zorgen dat de stroom voor beheerderstoestemming goed werkt, moeten toepassingsontwikkelaars alle machtigingen vermelden in de eigenschap RequiredResourceAccess in het toepassingsmanifest.

Gedelegeerde machtigingen versus toepassingsmachtigingen

Gedelegeerde machtigingen worden gebruikt door apps die een aangemelde gebruiker hebben en die toestemming kunnen hebben toegepast door de beheerder of gebruiker.

Toepassingsmachtigingen worden gebruikt door apps die zonder een aangemelde gebruiker worden uitgevoerd. Bijvoorbeeld apps die worden uitgevoerd als achtergrondservices of daemons. Toepassingsmachtigingen kunnen alleen worden toegestaan door een beheerder.

Zie voor meer informatie:

Riskante machtigingen classificeren

Er zijn duizenden (ten minste) machtigingen in het systeem en zijn niet haalbaar om al deze machtigingen weer te geven of te parseren. In de volgende lijst vindt u informatie over veelgebruikte misbruikte machtigingen en andere machtigingen die een onherstelbare impact zouden hebben als misbruik wordt gemaakt.

Op hoog niveau heeft Microsoft vastgesteld dat de volgende 'hoofdmachtigingen' (App+Gebruiker) worden misbruikt bij phishingaanvallen van toestemming. De hoofdmap is gelijk aan het hoogste niveau. Contactpersonen.* betekent bijvoorbeeld dat alle gedelegeerde permutaties van machtigingen voor contactpersonen worden opgenomen: Contacts.Read, Contacts.ReadWrite, Contacts.Read.Shared en Contacts.ReadWrite.Shared.

  1. Mail.* (inclusief Mail.Send*, maar niet Mail.ReadBasic*)
  2. Contactpersonen. *
  3. Postvak Instellingen.*
  4. Mensen.*
  5. Bestanden.*
  6. Notities.*
  7. Directory.AccessAsUser.All
  8. User_Impersonation

De eerste zeven machtigingen in de bovenstaande lijst zijn voor Microsoft Graph en de 'verouderde' API-equivalenten, zoals Azure Active Directory (Azure AD) Graph en Outlook REST. De achtste machtiging is voor Azure Resource Manager (ARM) en kan ook gevaarlijk zijn voor elke API die gevoelige gegevens blootstelt met dit deken-imitatiebereik.

Op basis van de waarnemingen van het Microsoft Incident Response-team gebruiken aanvallers een combinatie van de eerste zes machtigingen in 99% van de phishingaanvallen voor toestemming. De meeste mensen denken niet aan de gedelegeerde versie van Mail.Read of Files.Read als een machtiging met een hoog risico, maar de aanvallen zijn over het algemeen wijdverspreide aanvallen gericht op eindgebruikers, in plaats van spear phishing tegen beheerders die daadwerkelijk toestemming kunnen geven voor de gevaarlijke machtigingen. Het wordt aanbevolen om apps te bellen met dit 'kritieke' niveau van impactmachtigingen. Zelfs als de toepassingen geen kwaadwillende bedoelingen hebben en als er een slechte actor zou zijn om de app-identiteit te compromitteerd, kan uw hele organisatie risico lopen.

Voor de machtigingen voor de hoogste risico's begint u hier:

  • Toepassingsmachtigingen (AppOnly/AppRole) versies van alle bovenstaande machtigingen, indien van toepassing

Gedelegeerde en AppOnly-versies van de volgende machtigingen:

  • Application.ReadWrite.All
  • Directory.ReadWrite.All
  • Domain.ReadWrite.All*
  • EduRoster.ReadWrite.All*
  • Group.ReadWrite.All
  • Member.Read.Hidden*
  • RoleManagement.ReadWrite.Directory
  • User.ReadWrite.All*
  • User.ManageCreds.All
  • Alle andere AppOnly-machtigingen die schrijftoegang toestaan

Begin hier voor de lijst met laagste risicomachtigingen:

  • User.Read
  • User.ReadBasic.All
  • Open_id
  • E-mailadres
  • Profiel
  • Offline_access (alleen als deze is gekoppeld aan andere machtigingen voor deze lijst met laagste risico's )

Machtigingen weergeven

  1. Als u de machtigingen wilt weergeven, gaat u naar het registratiescherm in de bedrijfstoepassing.

    machtigingen weergeven

  2. Selecteer API-machtigingen weergeven.

    apipermissions

  3. Selecteer Een machtiging toevoegen en het volgende scherm wordt weergegeven.

    api

  4. Selecteer Microsoft Graph om de verschillende typen machtigingen weer te geven.

    typen machtigingen

  5. Selecteer het type machtigingen dat de geregistreerde toepassing gebruikt: Gedelegeerdemachtigingen of toepassingsmachtigingen. In de bovenstaande afbeelding zijn toepassingsmachtigingen geselecteerd.

  6. U kunt zoeken naar een van de machtigingen met een hoog risico, zoals EduRoster.

    examplepermission

  7. Selecteer EduRoster en vouw de machtigingen uit.

    eduroster

  8. U kunt deze machtigingen nu toewijzen of controleren.

    Voor meer informatie, Graph Permissions.

Workflow

[Werkstroom voor onderzoek van app-toestemming verlenen]

U kunt ook het volgende doen:

  • Download de app-toestemmingstoestemming en andere playbookwerkstromen voor reacties op incidenten als pdf-bestand.
  • Download de app-toestemmingstoestemming en andere playbookwerkstromen voor reacties op incidenten als een Visio-bestand.

Checklijst

Gebruik deze controlelijst om toepassingstoestemming te valideren.

  • Vereisten

    Zorg ervoor dat u toegang hebt tot de tenant als een globaal Beheer. Dit is een alleen-cloudaccount en maakt geen deel uit van uw on-premises omgeving.

  • Indicatoren van inbreuk (IoC)

    Controleer de volgende indicatoren van inbreuk (IoC):

    • Wanneer hebt u het incident opgemerkt?
    • Datumbereik van het incident (hoe ver is het doelbericht?)
    • Aantal gecompromitteerde accounts
    • Namen van gecompromitteerde accounts
    • Rollen van de gecompromitteerde accounts
    • Zijn de gecompromitteerde accounts met hoge bevoegdheden, een standaardgebruiker of een combinatie
  • Rollen

    U moet aan deze rollen zijn toegewezen:

    • Globale beheerdersrechten voor de tenant om het script uit te voeren
    • Lokale Beheer istrator-rol op de computer van waaruit u het script uitvoert
  • PowerShell-configuratie

    Configureer uw PowerShell-omgeving met de volgende stappen:

    1. Installeer de module Azure AD PowerShell.
    2. Voer de Windows PowerShell-app uit met verhoogde bevoegdheden. (Als administrator uitvoeren).
    3. Configureer PowerShell om ondertekende scripts uit te voeren.
    4. Download het script Get-AzureADPSPermissions.ps1 .
  • Onderzoekstriggers

    • Accountcompromitt
    • Instellingen voor app-toestemming gewijzigd in de tenant
    • Waarschuwings-/controlegebeurtenisstatusreden 'riskante toepassing' gedetecteerd
    • Merkwaardige toepassingen

U kunt de app-toestemmingstoestemming en andere controlelijsten voor incidentplaybooks ook downloaden als een Excel-bestand.

Onderzoeksstappen

U kunt de volgende twee methoden gebruiken om toestemmingstoestemmingen voor toepassingen te onderzoeken:

  • Azure Portal
  • PowerShell-script

Notitie

Als u Azure Portal gebruikt, kunt u alleen Beheer Toestemmingstoestemming voor de afgelopen 90 dagen zien. Op basis hiervan raden we u aan de PowerShell-scriptmethode alleen te gebruiken om de aanvaller onderzoeksstappen te verminderen.

Methode 1: Azure Portal gebruiken

U kunt het Microsoft Entra-beheercentrum gebruiken om toepassingen te vinden waaraan afzonderlijke gebruikers machtigingen hebben verleend.

  1. Meld u als beheerder aan bij de Azure-portal.
  2. Selecteer het pictogram Microsoft Entra-id .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Sollicitaties.
  6. U ziet de lijst met apps die zijn toegewezen aan de gebruiker en welke machtigingen deze toepassingen hebben.

Methode 2: PowerShell gebruiken

Er zijn verschillende PowerShell-hulpprogramma's die u kunt gebruiken om illegale toestemmingstoestemmingen te onderzoeken, zoals:

PowerShell is het eenvoudigste hulpprogramma en u hoeft niets in de tenancy te wijzigen. We gaan ons onderzoek baseren op de openbare documentatie van de illegale toestemmingstoestemmingsaanval.

Voer deze opdracht uit Get-AzureADPSPermissions.ps1om alle OAuth-toestemmingstoestemmingen en OAuth-apps voor alle gebruikers in uw tenancy te exporteren naar een .csv-bestand . Zie de sectie Vereisten om het Get-AzureADPSPermissions script te downloaden en uit te voeren.

  1. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  2. Verbinding maken naar uw directory met behulp van de volgende Verbinding maken-AzureAD-opdracht. Dit is een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  3. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv c:\temp\consentgrants\Permissions.csv -NoTypeInformation
    
  4. Zodra het script is voltooid, is het raadzaam om de Microsoft Entra-sessie te verbreken met deze opdracht.

     Disconnect-AzureAD
    

    Notitie

    Het kan uren duren voordat het script is voltooid, afhankelijk van de grootte en machtigingen die zijn geconfigureerd en uw verbinding.

  5. Het script maakt een bestand met de naam Permissions.csv.

  6. Open het bestand, filter of maak de gegevens op in een tabel en sla het op als een XLXS-bestand (voor filteren).

    De kolomkoppen voor uitvoer worden weergegeven in deze afbeelding.

    Voorbeeld van kolomkoppen

  7. Zoek in de kolom ConsentType (G) naar de waarde AllPrinciples. Met de machtiging AllPrincipals kan de clienttoepassing toegang krijgen tot de inhoud van iedereen in de tenancy. Systeemeigen Microsoft 365-toepassingen hebben deze machtiging nodig om correct te kunnen werken. Elke niet-Microsoft-toepassing met deze machtiging moet zorgvuldig worden gecontroleerd.

  8. Controleer in de kolom Machtiging (F) de machtigingen die elke gedelegeerde toepassing heeft. Zoek naar lees- en schrijfmachtigingen of *. Alle machtigingen en bekijk deze machtigingen zorgvuldig omdat ze mogelijk niet geschikt zijn. Voorbeeld van machtigingskolom F

    Notitie

    Bekijk de specifieke gebruikers waaraan toestemming is verleend. Als gebruikers met een hoog profiel of een hoge impact ongepaste toestemming hebben verleend, moet u verder onderzoeken.

  9. Zoek in de kolom ClientDisplayName (C) naar apps die verdacht lijken, zoals:

    • Apps met verkeerd gespelde namen Voorbeeld van een verkeerd gespelde naam

    • Ongebruikelijke of onlande namen Voorbeeld van een ongebruikelijke naam

    • Hacker klinkende namen. U moet deze namen zorgvuldig bekijken. Voorbeeld van de naam van een hacker

Voorbeelduitvoer: AllPrincipals en alles lezen. Toepassingen hebben mogelijk niets verdachts, zoals blandnamen en maken gebruik van MS Graph. Voer echter onderzoek uit en bepaal het doel van de toepassingen en de werkelijke machtigingen die de toepassingen in de tenant hebben, zoals wordt weergegeven in dit voorbeeld.

Voorbeeld van toepassingen met het AllPrincipals ConsentType

Hier volgen enkele handige tips om onderzoek naar informatiebeveiligingsbeleid (ISP) te bekijken:

  1. ReplyURL/RedirectURL
    • Zoeken naar verdachte URL's
  2. Wordt de URL gehost op een verdacht domein?
    • Is het gecompromitteerd?
    • Is het domein onlangs geregistreerd?
    • Is het een tijdelijk domein?
  3. Zijn er service- of serviceovereenkomstkoppelingen beschikbaar in de app-registratie?
  4. Zijn de inhoud uniek en specifiek voor de toepassing/uitgever?
  5. Is de tenant die de toepassing heeft geregistreerd, nieuw gemaakt of gecompromitteerd (is de app bijvoorbeeld geregistreerd door een gebruiker die risico loopt)?

Aanvalstechnieken

Hoewel elke aanval meestal varieert, zijn de belangrijkste aanvalstechnieken:

  • Een aanvaller registreert een app bij een OAuth 2.0-provider, zoals Microsoft Entra-id.

  • De app is geconfigureerd op een manier die legitiem lijkt. Aanvallers kunnen bijvoorbeeld de naam van een populair product gebruiken dat beschikbaar is in hetzelfde ecosysteem.

  • De aanvaller krijgt rechtstreeks een koppeling van gebruikers, die kunnen worden uitgevoerd via conventionele phishing op basis van e-mail, door een niet-kwaadwillende website of via andere technieken in gevaar te brengen.

  • De gebruiker selecteert de koppeling en wordt een authentieke toestemmingsprompt weergegeven waarin wordt gevraagd om de schadelijke app machtigingen te verlenen aan gegevens.

  • Als een gebruiker Accepteren selecteert, verleent deze de app machtigingen voor toegang tot gevoelige gegevens.

  • De app krijgt een autorisatiecode die wordt ingewisseld voor een toegangstoken en mogelijk een vernieuwingstoken.

  • Het toegangstoken wordt gebruikt om API-aanroepen namens de gebruiker uit te voeren.

  • Als de gebruiker akkoord gaat, kan de aanvaller toegang krijgen tot de e-mailberichten van de gebruiker, regels voor doorsturen, bestanden, contactpersonen, notities, profiel en andere gevoelige gegevens en bronnen.

    Voorbeeld van machtigingsaanvraag

Tekenen van een aanval vinden

  1. Open het Beveiligings- en compliancecentrum.

  2. Navigeer naar Zoeken en selecteer Zoeken in auditlogboeken.

  3. Zoek (alle activiteiten en alle gebruikers) en voer de begin- en einddatum in (indien nodig) en selecteer Vervolgens Zoeken.

    Voorbeeld van een zoekopdracht in auditlogboeken

  4. Selecteer Resultaten filteren en voer in het veld Activiteit toestemming in voor de toepassing.

    Voorbeeld van het filteren van een zoekopdracht in auditlogboeken

  5. Als u activiteiten hebt onder toestemming om toe te kennen, gaat u verder zoals hieronder wordt beschreven.

  6. Selecteer het resultaat om de details van de activiteit weer te geven. Selecteer Meer informatie om details van de activiteit op te halen.

  7. Controleer of Is Beheer Content is ingesteld op Waar.

    Notitie

    Dit proces kan 30 minuten tot 24 uur duren voordat de bijbehorende vermelding in het auditlogboek wordt weergegeven in de zoekresultaten nadat een gebeurtenis is opgetreden.

    Hoe lang een auditrecord wordt bewaard en doorzoekbaar is in het auditlogboek, is afhankelijk van uw Microsoft 365-abonnement en met name het type licentie dat aan een specifieke gebruiker is toegewezen. Als deze waarde waar is, geeft dit aan dat iemand met global Beheer istrator-toegang mogelijk brede toegang tot gegevens heeft verleend. Als dit onverwacht is, moet u onmiddellijk stappen ondernemen om een aanval te bevestigen.

Hoe kan ik een aanval bevestigen?

Als u een of meer exemplaren van de eerder vermelde IOC's hebt, moet u verder onderzoek doen om te bevestigen dat de aanval is opgetreden.

Apps inventariseren met toegang in uw organisatie

U kunt apps inventariseren voor uw gebruikers met behulp van het Microsoft Entra-beheercentrum, PowerShell of uw gebruikers afzonderlijk toegang tot hun toepassing laten inventariseren.

  • Gebruik het Microsoft Entra-beheercentrum om toepassingen en hun machtigingen te inventariseren. Deze methode is grondig, maar u kunt slechts één gebruiker tegelijk controleren. Dit kan tijdrovend zijn als u de machtigingen van meerdere gebruikers moet controleren.
  • Gebruik PowerShell om toepassingen en hun machtigingen te inventariseren. Deze methode is de snelste en meest grondige, met de minste hoeveelheid overhead.
  • Moedig uw gebruikers aan om hun apps en machtigingen afzonderlijk te controleren en de resultaten terug te rapporteren aan de beheerders voor herstel.

Inventaris-apps die zijn toegewezen aan gebruikers

U kunt het Microsoft Entra-beheercentrum gebruiken om de lijst met apps weer te geven waaraan afzonderlijke gebruikers machtigingen hebben verleend.

  1. Meld u aan bij Azure Portal met beheerdersrechten.
  2. Selecteer het pictogram Microsoft Entra-id .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Sollicitaties.

U ziet de lijst met apps die zijn toegewezen aan de gebruiker en de machtigingen die aan deze apps zijn verleend.

Het bereik van de aanval bepalen

Nadat u de toegang tot de toepassing hebt geïnventariseerd, controleert u het auditlogboek om het volledige bereik van de inbreuk te bepalen. Zoek op de betrokken gebruikers, de tijdsbestekken waarop de illegale toepassing toegang had tot uw organisatie en de machtigingen die de app had. U kunt in het auditlogboek zoeken in het Microsoft 365 Security & Compliance Center.

Belangrijk: Als controle niet is ingeschakeld vóór de mogelijke aanval, kunt u het niet onderzoeken omdat controlegegevens niet beschikbaar zijn.

Hoe kan ik aanvallen voorkomen en risico's beperken?

Als uw organisatie over de juiste licentie beschikt:

  • Gebruik meer OAuth-toepassingscontrolefuncties in Microsoft Defender voor Cloud Apps.
  • Gebruik Azure Monitor Workbooks om machtigingen en toestemmingsgerelateerde activiteiten te bewaken. De werkmap Consent Insights biedt een overzicht van apps op basis van het aantal mislukte toestemmingsaanvragen. Dit kan handig zijn om toepassingen te prioriteren die beheerders kunnen beoordelen en beslissen of ze beheerderstoestemming moeten verlenen.

Nadat u een toepassing met illegale machtigingen hebt geïdentificeerd, schakelt u de toepassing onmiddellijk uit volgens de instructies in Een toepassing uitschakelen. Neem vervolgens contact op met Microsoft Ondersteuning om de schadelijke toepassing te melden.

Zodra een toepassing is uitgeschakeld in uw Microsoft Entra-tenant, kan deze geen nieuwe tokens verkrijgen voor toegang tot gegevens en kunnen andere gebruikers zich niet aanmelden bij of toestemming verlenen aan de app.

Notitie

Als u vermoedt dat u een schadelijke toepassing in uw organisatie tegenkomt, is het beter om deze uit te schakelen dan om deze te verwijderen. Als u de toepassing alleen verwijdert, kan deze later worden geretourneerd als een andere gebruiker toestemming verleent. Schakel in plaats daarvan de toepassing uit om ervoor te zorgen dat deze later niet meer terug kan komen.

Stappen voor het beveiligen van uw organisatie

Er zijn verschillende typen toestemmingsaanvallen, maar als u deze aanbevolen verdediging volgt, waardoor alle soorten aanvallen worden beperkt, met name phishing van toestemming, waarbij aanvallers gebruikers misleiden om toegang te verlenen tot gevoelige gegevens of andere resources. In plaats van het wachtwoord van de gebruiker te stelen, zoekt een aanvaller toestemming voor een door een aanvaller beheerde app om toegang te krijgen tot waardevolle gegevens.

Zie de volgende aanbevelingen om te voorkomen dat toestemmingsaanvallen van invloed zijn op Microsoft Entra ID en Office 365:

Beleid instellen

  • Deze instelling heeft gevolgen voor gebruikers en is mogelijk niet van toepassing op een omgeving. Als u toestemming wilt geven, moet u ervoor zorgen dat de beheerders de aanvragen goedkeuren.

  • Sta alleen toestemmingen toe voor toepassingen van geverifieerde uitgevers en specifieke typen machtigingen die als lage impact zijn geclassificeerd.

    Notitie

    De bovenstaande aanbevelingen worden voorgesteld op basis van de meest ideale, veilige configuraties. Omdat beveiliging echter een prima balans is tussen functies en bewerkingen, kunnen de veiligste configuraties meer overhead voor beheerders veroorzaken. Het is een beslissing die het beste is genomen na overleg met uw beheerders.

    Stapsgewijze toestemming op basis van risico's configureren : standaard ingeschakeld als toestemming van de gebruiker voor toekenning is ingeschakeld

  • Met stapsgewijze toestemming op basis van risico's kunt u de blootstelling van gebruikers aan schadelijke apps verminderen die illegale toestemmingsaanvragen indienen. Als Microsoft een riskante toestemmingsaanvraag voor eindgebruikers detecteert, is voor de aanvraag een 'step-up' vereist voor beheerderstoestemming. Deze mogelijkheid is standaard ingeschakeld, maar dit resulteert alleen in een gedragswijziging wanneer toestemming van eindgebruikers is ingeschakeld.

  • Wanneer een riskante toestemmingsaanvraag wordt gedetecteerd, wordt in de toestemmingsprompt een bericht weergegeven waarin wordt aangegeven dat goedkeuring van de beheerder nodig is. Als de werkstroom voor beheerderstoestemmingsaanvragen is ingeschakeld, kan de gebruiker de aanvraag rechtstreeks vanuit de toestemmingsprompt verzenden naar de beheerder. Als dit is ingeschakeld, wordt het volgende bericht weergegeven:

    AADSTS90094: <clientAppDisplayName> heeft toestemming nodig voor toegang tot resources in uw organisatie die alleen een beheerder kan verlenen. Vraag een beheerder om toestemming te verlenen aan deze app voordat u deze kunt gebruiken. In dit geval wordt een controlegebeurtenis ook geregistreerd met een categorie van het activiteitstype ApplicationManagement van 'Toestemming voor toepassing' en statusreden van 'Riskante toepassing gedetecteerd'.

Notitie

Alle taken waarvoor goedkeuring van de beheerder is vereist, hebben operationele overhead. De 'Toestemming en machtigingen, instellingen voor gebruikerstoestemming' bevindt zich momenteel in de preview-versie . Zodra deze gereed is voor algemene beschikbaarheid (GA), moet de functie 'Gebruikerstoestemming van geverifieerde uitgevers toestaan, voor geselecteerde machtigingen' de overhead van beheerders verminderen en wordt aanbevolen voor de meeste organisaties.

Toestemming

Informeer uw toepassingsontwikkelaars om het betrouwbare app-ecosysteem te volgen. Om ontwikkelaars te helpen bij het bouwen van hoogwaardige en veilige integraties, kondigen we ook openbare preview aan van de integratieassistent in Microsoft Entra-app-registraties.

  • De Integration Assistant analyseert uw app-registratie en benchmarkt deze op basis van een aantal aanbevolen aanbevolen beveiligingsprocedures.
  • De Integratieassistent markeert aanbevolen procedures die relevant zijn tijdens elke fase van de levenscyclus van uw integratie, van ontwikkeling tot bewaking, en zorgt ervoor dat elke fase correct is geconfigureerd.
  • Het maakt uw werk eenvoudiger, of u nu uw eerste app integreert of u bent een expert die uw vaardigheden wil verbeteren.

Informeer uw organisatie over toestemmingstactieken (phishingtactieken, beheerders- en gebruikerstoestemmingen ):

  • Controleer op slechte spelling en grammatica. Als een e-mailbericht of het toestemmingsscherm van de toepassing spel- en grammaticafouten bevat, is dit waarschijnlijk een verdachte toepassing.
  • Houd app-namen en domein-URL's in de gaten. Aanvallers vinden het leuk om namen van apps te spoofen die ervoor zorgen dat deze afkomstig zijn van legitieme toepassingen of bedrijven, maar ervoor zorgen dat u toestemming verleent voor een schadelijke app.
  • Zorg ervoor dat u de app-naam en domein-URL herkent voordat u toestemming geeft voor een toepassing.

Niveau verhogen en toegang verlenen tot apps die u vertrouwt

  • Niveau verhogen van het gebruik van toepassingen die zijn geverifieerd door de uitgever. Verificatie van uitgever helpt beheerders en eindgebruikers inzicht te hebben in de echtheid van toepassingsontwikkelaars. Tot nu toe worden meer dan 660 toepassingen door 390 uitgevers geverifieerd.
  • Configureer beleid voor toepassingstoestemming door gebruikers toe te staan alleen toestemming te geven voor specifieke toepassingen die u vertrouwt, zoals toepassingen die zijn ontwikkeld door uw organisatie of van geverifieerde uitgevers.
  • Informeer uw organisatie over de werking van onze machtigingen en toestemmingsframework.
  • Informatie over de gegevens en machtigingen die een toepassing vraagt en begrijpt hoe machtigingen en toestemming werken binnen ons platform.
  • Zorg ervoor dat beheerders weten hoe ze toestemmingsaanvragen kunnen beheren en evalueren.

Controleer apps en toestemmingsmachtigingen in uw organisatie om ervoor te zorgen dat toepassingen die worden gebruikt alleen toegang hebben tot de gegevens die ze nodig hebben en zich houden aan de principes van minimale bevoegdheden.

Oplossingen

  • Informeer de klant en bied bewustzijn en training over het beveiligen van toestemmingstoestemmingen voor toepassingen
  • Het proces voor het verlenen van toepassingstoestemming aanscherpen met organisatiebeleid en technische controles
  • Planning maken instellen om toestemmingstoepassingen te controleren
  • U kunt PowerShell gebruiken om verdachte of schadelijke apps uit te schakelen door de app uit te schakelen

Verwijzingen

De bron van de inhoud voor dit artikel is het volgende:

Aanvullende playbooks voor reactie op incidenten

Bekijk richtlijnen voor het identificeren en onderzoeken van deze aanvullende typen aanvallen:

Resources voor reactie op incidenten