Onrechtmatige toestemmingsverlening detecteren en herstellen

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Samenvatting Meer informatie over het herkennen en herstellen van de aanval op onrechtmatige toestemming in Microsoft 365.

Bij een aanval op onrechtmatige toestemming maakt de aanvaller een in Azure geregistreerde toepassing die toegang vraagt tot gegevens, zoals contactgegevens, e-mail of documenten. De aanvaller misleidt vervolgens een eindgebruiker om die toepassing toestemming te geven voor toegang tot zijn gegevens via een phishing-aanval of door illegale code in een vertrouwde website te injecteren. Nadat de illegale toepassing toestemming heeft gekregen, heeft deze toegang op accountniveau tot gegevens zonder dat er een organisatieaccount nodig is. Normale herstelstappen (bijvoorbeeld het opnieuw instellen van wachtwoorden of het vereisen van meervoudige verificatie (MFA)) zijn niet effectief tegen dit type aanval, omdat deze apps buiten de organisatie vallen.

Deze aanvallen maken gebruik van een interactiemodel dat ervan uit gaat dat de entiteit die de informatie aanroept automatisering is en geen mens.

Belangrijk

Vermoedt u dat u momenteel problemen ondervindt met onrechtmatige toestemmingsverlening van een app? Microsoft Defender for Cloud Apps beschikt over hulpprogramma's voor het detecteren, onderzoeken en herstellen van uw OAuth-apps. Dit artikel over Defender for Cloud Apps bevat een zelfstudie waarin wordt beschreven hoe u riskante OAuth-apps kunt onderzoeken. U kunt ook OAuth-app-beleid instellen om door de app aangevraagde machtigingen te onderzoeken, welke gebruikers deze apps autoriseren en deze machtigingsaanvragen op grote schaal goedkeuren of verbieden.

U moet in het auditlogboek zoeken naar tekenen, ook wel Indicators of Compromise (IOC) van deze aanval genoemd. Voor organisaties met veel azure-geregistreerde toepassingen en een groot gebruikersbestand is de best practice om de toestemmingstoekenning van uw organisatie wekelijks te bekijken.

Stappen voor het vinden van tekenen van deze aanval

  1. Open de Microsoft Defender portal op https://security.microsoft.com en selecteer vervolgens Audit. Of ga rechtstreeks naar de pagina Controle via https://security.microsoft.com/auditlogsearch.

  2. Controleer op de pagina Controle of het tabblad Search is geselecteerd en configureer vervolgens de volgende instellingen:

    • Datum- en tijdsbereik
    • Activiteiten: controleer of Resultaten weergeven voor alle activiteiten is geselecteerd.

    Wanneer u klaar bent, selecteert u Search.

  3. Selecteer de kolom Activiteit om de resultaten te sorteren en zoek naar Toestemming voor toepassing.

  4. Selecteer een vermelding in de lijst om de details van de activiteit te bekijken. Controleer of IsAdminConsent is ingesteld op True.

Opmerking

Het kan 30 minuten tot 24 uur duren voordat de bijbehorende vermelding in het auditlogboek wordt weergegeven in de zoekresultaten nadat een gebeurtenis is opgetreden.

De tijdsduur dat een auditrecord wordt bewaard en doorzoekbaar is in het auditlogboek, is afhankelijk van uw Microsoft 365-abonnement en met name het type licentie dat is toegewezen aan een specifieke gebruiker. Zie Auditlogboek voor meer informatie.

De waarde is true geeft aan dat iemand met globale beheerderstoegang mogelijk uitgebreide toegang tot gegevens heeft verleend. Als deze waarde onverwacht is, voert u stappen uit om een aanval te bevestigen.

Een aanval bevestigen

Als u een of meer exemplaren van de eerder vermelde IOC's hebt, moet u verder onderzoek doen om te bevestigen dat de aanval heeft plaatsgevonden. U kunt een van deze drie methoden gebruiken om de aanval te bevestigen:

  • Inventariseer toepassingen en hun machtigingen met behulp van de Microsoft Entra-beheercentrum. Deze methode is grondig, maar u kunt slechts één gebruiker tegelijk controleren. Dit kan erg tijdrovend zijn als u veel gebruikers hebt om te controleren.
  • Inventariseer toepassingen en hun machtigingen met behulp van PowerShell. Dit is de snelste en grondigste methode, met de minste overhead.
  • Laat uw gebruikers hun apps en machtigingen afzonderlijk controleren en de resultaten voor herstel rapporteren aan de beheerders.

Apps inventariseren met toegang in uw organisatie

U hebt de volgende opties om apps voor uw gebruikers te inventariseren:

  • De Microsoft Entra-beheercentrum.
  • Powershell.
  • Laat uw gebruikers hun eigen toegang tot toepassingen afzonderlijk opsommen.

Stappen voor het gebruik van de Microsoft Entra-beheercentrum

U kunt de toepassingen opzoeken waaraan een afzonderlijke gebruiker machtigingen heeft verleend met behulp van de Microsoft Entra-beheercentrum:

  1. Open de Microsoft Entra-beheercentrum op https://entra.microsoft.comen ga vervolgens naarIdentiteitsgebruikers>> *Alle gebruikers. Als u rechtstreeks naar Gebruikers>Alle gebruikers wilt gaan, gebruikt u https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Zoek en selecteer de gebruiker die u wilt controleren door op de waarde Weergavenaam te klikken.
  3. Selecteer toepassingen op de pagina met gebruikersgegevens die wordt geopend.

In deze stappen ziet u welke apps zijn toegewezen aan de gebruiker en welke machtigingen de toepassingen hebben.

Stappen voor het opsommen van uw gebruikers van hun toepassingstoegang

Laat uw gebruikers daar hun eigen toegang tot https://myapps.microsoft.com de toepassing bekijken. Ze moeten alle apps met toegang kunnen zien, details over deze apps kunnen bekijken (inclusief het toegangsbereik) en bevoegdheden voor verdachte of illegale apps kunnen intrekken.

Stappen in PowerShell

De eenvoudigste manier om de aanval op onrechtmatige toestemming te controleren, is doorGet-AzureADPSPermissions.ps1uit te voeren, waarmee alle OAuth-toestemmingstoekenningen en OAuth-apps voor alle gebruikers in uw tenancy in één .csv-bestand worden gedumpt.

Vereisten

  • De Azure AD PowerShell-bibliotheek geïnstalleerd.
  • Globale beheerdersmachtigingen in de organisatie waar het script wordt uitgevoerd.
  • Lokale beheerdersmachtigingen op de computer waarop u de scripts uitvoert.

Belangrijk

We raden u ten zeerste aan om meervoudige verificatie te vereisen voor uw beheerdersaccount. Dit script ondersteunt MFA-verificatie.

Opmerking

Azure AD PowerShell is gepland voor afschaffing op 30 maart 2024. Lees de afschaffingsupdate voor meer informatie.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Microsoft Graph PowerShell biedt toegang tot alle Microsoft Graph-API's en is beschikbaar in PowerShell 7. Zie Veelgestelde vragen over migratie voor antwoorden op veelvoorkomende migratiequery's.

  1. Meld u aan bij de computer waarop u de scripts wilt uitvoeren met lokale beheerdersrechten.

  2. Download of kopieer het Get-AzureADPSPermissions.ps1 script van GitHub naar een map die gemakkelijk te vinden en te onthouden is. In deze map moet u ook het uitvoerbestand 'permissions.csv' schrijven.

  3. Open een PowerShell-sessie met verhoogde bevoegdheid als beheerder in de map waarin u het script hebt opgeslagen.

  4. Maak verbinding met uw directory met behulp van de cmdlet Connect-MgGraph .

  5. Voer deze PowerShell-opdracht uit:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation

Het script produceert één bestand met de naam Permissions.csv. Volg deze stappen om te zoeken naar onrechtmatige toekenningen van toepassingsmachtigingen:

  1. Zoek in de kolom ConsentType (kolom G) naar de waarde 'AllPrinciples'. Met de machtiging AllPrincipals heeft de clienttoepassing toegang tot de inhoud van iedereen in de tenancy. Systeemeigen Microsoft 365-toepassingen hebben deze machtiging nodig om correct te werken. Elke niet-Microsoft-toepassing met deze machtiging moet zorgvuldig worden gecontroleerd.

  2. Controleer in de kolom Machtiging (kolom F) de machtigingen die elke gedelegeerde toepassing heeft voor inhoud. Zoek naar de machtiging 'Lezen' en 'Schrijven' of 'Alle', en controleer deze machtigingen zorgvuldig, omdat ze mogelijk niet geschikt zijn.

  3. Controleer de specifieke gebruikers waaraan toestemmingen zijn verleend. Als gebruikers met een hoog profiel of een hoge waarde ongepaste toestemming hebben verleend, moet u dit verder onderzoeken.

  4. Zoek in de kolom ClientDisplayName (kolom C) naar apps die verdacht lijken. Apps met verkeerd gespelde namen, super flauwe namen of hacker-klinkende namen moeten zorgvuldig worden gecontroleerd.

Het bereik van de aanval bepalen

Nadat u klaar bent met het inventariseren van toegang tot toepassingen, controleert u het auditlogboek om het volledige bereik van de inbreuk te bepalen. Search op de betrokken gebruikers, de periodes waarin de illegale toepassing toegang had tot uw organisatie en de machtigingen die de app had. U kunt het auditlogboek doorzoeken in de Microsoft Defender portal.

Belangrijk

Postvakcontrole en Activiteitcontrole voor beheerders en gebruikers moeten zijn ingeschakeld vóór de aanval om deze informatie te kunnen verkrijgen.

Nadat u de toepassing hebt geïdentificeerd met illegale machtigingen, hebt u verschillende manieren om die toegang te verwijderen:

  • U kunt de machtiging van de toepassing in de Microsoft Entra-beheercentrum intrekken door de volgende stappen uit te voeren:

    1. Open de Microsoft Entra-beheercentrum op https://entra.microsoft.comen ga vervolgens naarIdentiteitsgebruikers>> *Alle gebruikers. Als u rechtstreeks naar Gebruikers>Alle gebruikers wilt gaan, gebruikt u https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Zoek en selecteer de betrokken gebruiker door op de waarde Weergavenaam te klikken.
    3. Selecteer toepassingen op de pagina met gebruikersgegevens die wordt geopend.
    4. Selecteer op de pagina Toepassingen de illegale toepassing door op de waarde Naam te klikken.
    5. Selecteer Verwijderen op de pagina Toewijzingsgegevens die wordt geopend.

  • U kunt de OAuth-toestemmingsverlening intrekken met PowerShell door de stappen in Remove-MgOauth2PermissionGrant te volgen

  • U kunt de roltoewijzing van de service-app intrekken met PowerShell door de stappen in Remove-MgServicePrincipalAppRoleAssignment te volgen.

  • U kunt aanmelding uitschakelen voor het betrokken account, waardoor de toegang tot gegevens in het account door de app wordt uitgeschakeld. Deze actie is niet ideaal voor de productiviteit van gebruikers, maar het kan een herstel op korte termijn zijn om de resultaten van de aanval snel te beperken.

  • U kunt geïntegreerde toepassingen in uw organisatie uitschakelen. Deze actie is drastisch. Hoewel hiermee wordt voorkomen dat gebruikers per ongeluk toegang verlenen tot een schadelijke app, voorkomt het ook dat alle gebruikers toestemming verlenen voor toepassingen. We raden deze actie niet aan, omdat deze de productiviteit van gebruikers met toepassingen van derden ernstig schaadt. U kunt geïntegreerde apps uitschakelen door de stappen in Geïntegreerde apps in- of uitschakelen te volgen.

Zie ook