Onderzoek naar het verlenen van app-toestemming

Dit artikel bevat richtlijnen voor het identificeren en onderzoeken van app-toestemmingsaanvallen, het beveiligen van informatie en het minimaliseren van verdere risico's.

Dit artikel bevat de volgende secties:

  • Voorwaarden: Behandelt de specifieke vereisten die u moet voltooien voordat u het onderzoek start. Bijvoorbeeld logboekregistratie die moet worden ingeschakeld, rollen en machtigingen vereist, onder andere.
  • Workflow: Toont de logische stroom die u moet volgen om dit onderzoek uit te voeren.
  • Controlelijst: Bevat een lijst met taken voor elk van de stappen in het stroomdiagram. Deze controlelijst kan handig zijn in sterk gereglementeerde omgevingen om te controleren wat u hebt gedaan of gewoon als een kwaliteitsgate voor uzelf.
  • Onderzoeksstappen: Bevat een gedetailleerde stapsgewijze handleiding voor dit specifieke onderzoek.
  • Herstel: Bevat stappen op hoog niveau voor het herstellen/beperken van een illegale aanval op het verlenen van toepassingstoestemming.
  • Verwijzingen: Bevat extra lees- en referentiemateriaal.

Vereisten

Hier volgen algemene instellingen en configuraties die u moet voltooien om een onderzoek uit te voeren voor toekenningen van toepassingstoestemming. Voordat u begint met het onderzoek, moet u lezen over de typen toestemmingsmachtigingen die worden uitgelegd in Toestemmingsmachtigingstypen.

Klantgegevens

U hebt de volgende gegevens nodig om het onderzoeksproces te starten:

  • Toegang tot de tenant als een global Beheer - een cloudaccount (geen onderdeel van hun on-premises omgeving)
  • Details van indicatoren van inbreuk (IOC's)
  • De datum en tijd waarop u het incident hebt opgemerkt
  • Datumbereik
  • Aantal gecompromitteerde accounts
  • Naam(en) van gecompromitteerde accounts
  • Rollen van het gecompromitteerde account
  • Zijn de accounts zeer bevoegd (GA Microsoft Exchange, SharePoint)?
  • Zijn er bedrijfstoepassingen die zijn gerelateerd aan het incident?
  • Hebben er gebruikers gemeld over toepassingen die namens hen machtigingen voor gegevens aanvragen?

Systeemvereisten

Zorg ervoor dat u voldoet aan de volgende installatie- en configuratievereisten:

  1. De AzureAD PowerShell-module is geïnstalleerd.
  2. U hebt globale beheerdersrechten voor de tenant waarvoor het script wordt uitgevoerd.
  3. U krijgt de lokale beheerdersrol toegewezen op de computer die u gebruikt om de scripts uit te voeren.

De AzureAD-module installeren

Gebruik deze opdracht om de AzureAD-module te installeren.

Install-Module -Name AzureAD -Verbose

Notitie

Als u wordt gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats, typt u Y en drukt u op Enter.

De MSOnline PowerShell-module installeren

  1. Voer de Windows PowerShell-app uit met verhoogde bevoegdheden (als administrator uitvoeren).

  2. Voer deze opdracht uit om toe te staan dat PowerShell ondertekende scripts uitvoert.

    Set-ExecutionPolicy RemoteSigned
    
  3. Installeer de MSOnline-module met deze opdracht.

    Install-Module -Name MSOnline -Verbose
    

    Notitie

    Als u wordt gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats, typt u Y en drukt u op Enter.

Download het AzureADPSPermissions-script van GitHub

  1. Download het Get-AzureADPSPermissions.ps1-script van GitHub naar een map van waaruit u het script gaat uitvoeren. Het uitvoerbestand 'permissions.csv' wordt ook naar dezelfde map geschreven.

  2. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  3. Maak verbinding met uw map met behulp van de Connect-AzureAD cmdlet. Hier volgt een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  4. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

    Verbreek de verbinding met uw AzureAD-sessie met deze opdracht.

    Disconnect-AzureAD
    

Toestemming is het proces van het verlenen van autorisatie aan een toepassing voor toegang tot beveiligde resources namens de gebruikers. Een beheerder of gebruiker kan om toestemming worden gevraagd om toegang tot hun organisatie/individuele gegevens toe te staan.

Een toepassing krijgt toegang tot gegevens op basis van een bepaalde gebruiker of voor de hele organisatie. Deze toestemmingen kunnen echter worden misbruikt door aanvallers om persistentie voor de omgeving te krijgen en toegang te krijgen tot gevoelige gegevens. Dit soort aanvallen worden illegale toestemmingsverlening genoemd, wat kan gebeuren via een phishing-e-mail, inbreuk op een gebruikersaccount via wachtwoordspray of wanneer een aanvaller een toepassing registreert als een legitieme gebruiker. In scenario's waarin een Global Beheer-account is aangetast, zijn de registratie en toestemmingsverlening voor tenantbrede en niet slechts voor één gebruiker.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn postvak, maar kan geen toestemming geven om een app ongehinderde toegang te geven tot het lezen en schrijven van alle bestanden in uw organisatie.

Notitie

Door gebruikers toe te staan apps toegang te verlenen tot gegevens, kunnen gebruikers eenvoudig nuttige toepassingen verkrijgen en productief zijn. In sommige situaties kan deze configuratie echter een risico vormen als deze niet zorgvuldig wordt bewaakt en gecontroleerd.

Als u beheerderstoestemming voor de hele tenant wilt verlenen, moet u zich aanmelden als een van de volgende opties:

  • Hoofdbeheerder
  • Toepassingsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheerder- Geeft aan dat de toestemming is gegeven door de beheerder (namens de organisatie)
  • Individuele gebruiker - Geeft aan dat de toestemming is verleend door de gebruiker en alleen toegang heeft tot de gegevens van die gebruiker
  • Geaccepteerde waarden
    • AllPrincipals - Toestemming van een beheerder voor de gehele tenancy
    • Belangrijkste– Toestemming van de afzonderlijke gebruiker voor gegevens die alleen betrekking hebben op dat account

De werkelijke gebruikerservaring voor het verlenen van toestemming verschilt, afhankelijk van het beleid dat is ingesteld voor de tenant van de gebruiker, het bevoegdheidsbereik (of de rol) van de gebruiker en het type machtigingen dat wordt aangevraagd door de clienttoepassing. Dit betekent dat toepassingsontwikkelaars en tenantbeheerders enige controle hebben over de toestemmingservaring. Beheerders hebben de flexibiliteit om beleidsregels in te stellen en te deactiveren voor een tenant of app om de toestemmingservaring in hun tenant te beheren. Toepassingsontwikkelaars kunnen bepalen welke typen machtigingen worden aangevraagd en of ze gebruikers willen begeleiden door de stroom voor gebruikerstoestemming of de stroom voor beheerderstoestemming.

  • Gebruikerstoestemmingsstroom : wanneer een toepassingsontwikkelaar gebruikers naar het autorisatie-eindpunt leidt met de bedoeling om alleen toestemming voor de huidige gebruiker vast te leggen.

  • Beheer toestemmingsstroom: wanneer een toepassingsontwikkelaar gebruikers doorstuurt naar het eindpunt voor beheerderstoestemming met de bedoeling om toestemming voor de hele tenant vast te leggen. Om ervoor te zorgen dat de stroom voor beheerderstoestemming goed werkt, moeten toepassingsontwikkelaars alle machtigingen in de eigenschap RequiredResourceAccess in het toepassingsmanifest vermelden.

Gedelegeerde machtigingen versus toepassingsmachtigingen

Gedelegeerde machtigingen worden gebruikt door apps waarvoor een aangemelde gebruiker aanwezig is en waarvoor toestemmingen kunnen worden toegepast door de beheerder of gebruiker.

Toepassingsmachtigingen worden gebruikt door apps die zonder een aangemelde gebruiker worden uitgevoerd. Bijvoorbeeld apps die worden uitgevoerd als achtergrondservices of daemons. Toepassingsmachtigingen kunnen alleen worden toegestaan door een beheerder.

Zie voor meer informatie:

Riskante machtigingen classificeren

Er zijn (ten minste) duizenden machtigingen in het systeem en het is niet haalbaar om deze allemaal op te sommen of te parseren. In de onderstaande lijst vindt u informatie over vaak misbruikte machtigingen en andere machtigingen die een onherstelbare impact kunnen hebben als ze worden misbruikt.

Op hoog niveau hebben we vastgesteld dat de volgende gedelegeerde 'root'-machtigingen (App+Gebruiker) worden misbruikt bij phishingaanvallen met toestemming. Root is gelijk aan het hoogste niveau. Contactpersonen.* betekent bijvoorbeeld dat alle gedelegeerde permutaties van contactpersonenmachtigingen worden opgenomen: Contacts.Read, Contacts.ReadWrite, Contacts.Read.Shared en Contacts.ReadWrite.Shared.

  1. Mail.* (inclusief Mail.Send*, maar niet Mail.ReadBasic*)
  2. Contactpersonen. *
  3. MailboxSettings.*
  4. Mensen.*
  5. Bestanden.*
  6. Notities.*
  7. Directory.AccessAsUser.All
  8. User_Impersonation

De eerste zeven machtigingen in de bovenstaande lijst zijn voor Microsoft Graph en de 'verouderde' API-equivalenten, zoals Azure Active Directory (Azure AD) Graph en Outlook REST. De achtste machtiging is voor Azure Resource Manager (ARM) en kan ook gevaarlijk zijn voor elke API die gevoelige gegevens beschikbaar maakt met dit algemene imitatiebereik.

Volgens onze waarneming hebben aanvallers een combinatie van de eerste zes machtigingen gebruikt in 99% van de phishingaanvallen met toestemming. De meeste mensen beschouwen de gedelegeerde versie van Mail.Read of Files.Read niet als een machtiging met een hoog risico, maar de aanvallen die we hebben gezien, zijn over het algemeen wijdverbreide aanvallen gericht op eindgebruikers, in plaats van spear phishing tegen beheerders die daadwerkelijk toestemming kunnen geven voor de gevaarlijke machtigingen. Het wordt aanbevolen om apps met deze 'kritieke' impactmachtigingen te bellen. Zelfs als de toepassingen geen kwaadwillende bedoelingen hebben en als een slechte actor de app-identiteit in gevaar zou willen komen, loopt uw hele organisatie risico.

Begin hier voor machtigingen met het hoogste risico:

  • Toepassingsmachtigingsversies (AppOnly/AppRole) van alle bovenstaande machtigingen, indien van toepassing

Gedelegeerde en AppOnly-versies van de volgende machtigingen:

  • Application.ReadWrite.All
  • Directory.ReadWrite.All
  • Domain.ReadWrite.All*
  • EduRoster.ReadWrite.All*
  • Group.ReadWrite.All
  • Member.Read.Hidden*
  • RoleManagement.ReadWrite.Directory
  • User.ReadWrite.All*
  • User.ManageCreds.All
  • Alle andere AppOnly-machtigingen die schrijftoegang toestaan

Begin hier voor de lijst met machtigingen met de laagste risico's:

  • User.Read
  • User.ReadBasic.All
  • Open_id
  • E-mail
  • Profiel
  • Offline_access (alleen als deze is gekoppeld aan andere machtigingen in deze lijst met laagste risico's)

Weergavemachtigingen

  1. Als u de machtigingen wilt weergeven, gaat u naar het scherm Registratie in de bedrijfstoepassing.

    machtigingen weergeven

  2. Selecteer API-machtigingen weergeven.

    apipermissions

  3. Selecteer Een machtiging toevoegen . Het volgende scherm wordt weergegeven.

    Api

  4. Selecteer Microsoft Graph om de verschillende typen machtigingen weer te geven.

    typen machtigingen

  5. Selecteer het type machtigingen dat de geregistreerde toepassing gebruikt: Gedelegeerdemachtigingen of Toepassingsmachtigingen. In de bovenstaande afbeelding is Toepassingsmachtigingen geselecteerd.

  6. U kunt zoeken naar een van de machtigingen met een hoog risico, zoals EduRoster.

    voorbeeldmachtiging

  7. Selecteer EduRoster en vouw de machtigingen uit.

    eduroster

  8. U kunt deze machtigingen nu toewijzen of controleren.

    Lees Grafiekmachtigingen voor meer informatie.

Werkstroom

Werkstroom voor het verlenen van app-toestemming voor onderzoek

U kunt ook het volgende doen:

  • Download de werkstromen voor het verlenen van app-toestemming en andere playbooks voor incidentrespons als PDF.
  • Download de app-toestemming verlenen en andere playbook-werkstromen voor incidentrespons als een Visio-bestand.

Controlelijst

Gebruik deze controlelijst om validatie van het verlenen van toepassingstoestemming uit te voeren.

  • Vereisten

    Zorg ervoor dat u toegang hebt tot de tenant als een globale Beheer. Dit is een cloudaccount en maakt geen deel uit van uw on-premises omgeving.

  • Indicatoren van inbreuk (IoC)

    Controleer de volgende indicatoren van inbreuk (IoC):

    • Wanneer hebt u het incident opgemerkt?
    • Datumbereik van het incident (hoe ver links is het doelbericht?)
    • Aantal gecompromitteerde accounts
    • Naam(en) van gecompromitteerde accounts
    • Rollen van de gecompromitteerde account(s)
    • Zijn de gecompromitteerde accounts met hoge bevoegdheden, een standaardgebruiker of een combinatie van
  • Rollen

    U moet worden toegewezen met deze rollen:

    • Globale beheerder rechten voor de tenant om het script uit te voeren
    • Lokale beheerdersrol op de computer van waaruit het script wordt uitgevoerd
  • PowerShell-configuratie

    Configureer uw PowerShell-omgeving met het volgende:

    • Installeer de module Azure AD PowerShell.
    • Voer de Windows PowerShell-app uit met verhoogde bevoegdheden. (Als administrator uitvoeren).
    • Configureer PowerShell om ondertekende scripts uit te voeren.
    • Download het Get-AzureADPSPermissions.ps1-script .
  • Onderzoektriggers

    • Accountcompromitt
    • App-toestemmingsinstellingen gewijzigd in de tenant
    • Waarschuwings-/controlegebeurtenisstatusreden 'riskante toepassing' gedetecteerd
    • Opgemerkte vreemd uitziende toepassingen

U kunt ook de app-toestemming verlenen en andere controlelijsten voor incidentplaybook downloaden als een Excel-bestand.

Onderzoeksstappen

U kunt de volgende twee methoden gebruiken om toestemmingsverlening voor toepassingen te onderzoeken:

  • Azure Portal
  • PowerShell-script

Notitie

Als u de Azure Portal gebruikt, kunt u alleen Beheer Toestemming verlenen voor de afgelopen 90 dagen zien. Op basis hiervan raden we u aan de PowerShell-scriptmethode alleen te gebruiken om de stappen voor het onderzoeken van de aanvallerregisters te verminderen.

Methode 1: de Azure Portal gebruiken

U kunt de Azure Active Directory-portal gebruiken om toepassingen te vinden waarvoor een afzonderlijke gebruiker machtigingen heeft verleend.

  1. Meld u als beheerder aan bij Azure Portal.
  2. Selecteer het pictogram Azure Active Directory .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Toepassingen.
  6. U kunt de lijst met apps zien die zijn toegewezen aan de gebruiker en welke machtigingen deze toepassingen hebben.

Methode 2: PowerShell gebruiken

Er zijn verschillende PowerShell-hulpprogramma's die u kunt gebruiken om illegale toestemmingsverlening te onderzoeken, zoals:

PowerShell is het eenvoudigste hulpprogramma en u hoeft niets in de tenant te wijzigen. We gaan ons onderzoek baseren op de openbare documentatie van de illegale toestemmingstoestemmingsaanval.

Voer uit Get-AzureADPSPermissions.ps1om alle OAuth-toestemmingstoestemmingstoestemmingen en OAuth-apps voor alle gebruikers in uw tenancy te exporteren naar een .csv-bestand . Zie de sectie Vereisten om het Get-AzureADPSPermissions script te downloaden en uit te voeren.

  1. Open een PowerShell-exemplaar als beheerder en open de map waarin u het script hebt opgeslagen.

  2. Maak verbinding met uw directory met behulp van de volgende Connect-AzureAD-opdracht . Hier volgt een voorbeeld.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"
    
  3. Voer deze PowerShell-opdracht uit.

    Get-AzureADPSPermissions.ps1 | Export-csv c:\temp\consentgrants\Permissions.csv -NoTypeInformation
    
  4. Zodra het script is voltooid, wordt het aanbevolen om de verbinding met de Azure AD-sessie te verbreken met deze opdracht.

     Disconnect-AzureAD
    

    Notitie

    Het kan uren duren voordat het script is voltooid, afhankelijk van de grootte en machtigingen die zijn geconfigureerd en uw verbinding.

  5. Het script maakt een bestand met de naam Permissions.csv.

  6. Open het bestand, filter of maak de gegevens op in een tabel en sla het op als een XLXS-bestand (om te filteren).

    De kolomkoppen voor uitvoer worden weergegeven in deze afbeelding.

    Voorbeeld van kolomkoppen

  7. Zoek in de kolom ConsentType(G) naar de waarde AllPrinciples. Met de machtiging AllPrincipals heeft de clienttoepassing toegang tot de inhoud van iedereen in de tenancy. Systeemeigen Microsoft 365-toepassingen hebben deze machtiging nodig om correct te werken. Elke niet-Microsoft-toepassing met deze machtiging moet zorgvuldig worden gecontroleerd.

  8. Controleer in de kolom Machtiging(F) de machtigingen die elke gedelegeerde toepassing heeft. Zoek naar lees- en schrijfmachtigingen of *. Alle machtigingen en bekijk deze zorgvuldig, omdat ze mogelijk niet geschikt zijn. Voorbeeld van machtigingskolom F

    Notitie

    Controleer de specifieke gebruikers waaraan toestemmingen zijn verleend. Als gebruikers met een hoog profiel of een grote impact ongepaste toestemmingen hebben verleend, moet u dit verder onderzoeken.

  9. Zoek in de kolom ClientDisplayName(C) naar apps die verdacht lijken, zoals:

    • Apps met verkeerd gespelde namen Voorbeeld van een verkeerd gespelde naam

    • Ongebruikelijke of flauwe namen Voorbeeld van een ongebruikelijke naam

    • Hacker-klinkende namen. U moet deze namen zorgvuldig controleren. Voorbeeld van de naam van een hacker

Voorbeelduitvoer: AllPrincipals en read write all. Toepassingen hebben mogelijk niets verdachts zoals flauwe namen en maken gebruik van MS Graph. Voer echter onderzoek uit en bepaal het doel van de toepassingen en de werkelijke machtigingen die de toepassingen hebben in de tenant, zoals in dit voorbeeld wordt weergegeven.

Voorbeeld van toepassingen met het AllPrincipals ConsentType

Hier volgen enkele nuttige tips voor het controleren van onderzoeken van informatiebeveiligingsbeleid (ISP):

  1. ReplyURL/RedirectURL
    • Zoeken naar verdachte URL's
  2. Wordt de URL gehost op een verdacht domein?
    • Is het gecompromitteerd?
    • Is het domein onlangs geregistreerd?
    • Is het een tijdelijk domein?
  3. Is er een koppeling naar servicevoorwaarden/serviceovereenkomst in de app-registratie?
  4. Is de inhoud uniek en specifiek voor de toepassing/uitgever?
  5. Is de tenant die de toepassing heeft geregistreerd, nieuw gemaakt of gecompromitteerd (is de app bijvoorbeeld geregistreerd door een gebruiker die risico loopt)?

Aanvalstechnieken

Hoewel elke aanval meestal varieert, zijn de belangrijkste aanvalstechnieken:

  • Een aanvaller registreert een app bij een OAuth 2.0-provider, zoals Azure AD.

  • De app is zodanig geconfigureerd dat deze legitiem lijkt. Aanvallers kunnen bijvoorbeeld de naam gebruiken van een populair product dat beschikbaar is in hetzelfde ecosysteem.

  • De aanvaller krijgt een koppeling rechtstreeks van gebruikers, wat kan worden gedaan via conventionele phishing op basis van e-mail, door een niet-schadelijke website te compromitteren of via andere technieken.

  • De gebruiker selecteert de koppeling en krijgt een authentieke toestemmingsprompt te zien waarin wordt gevraagd om de schadelijke app machtigingen voor gegevens te verlenen.

  • Als een gebruiker 'Accepteren' selecteert, verleent deze de app machtigingen voor toegang tot gevoelige gegevens.

  • De app krijgt een autorisatiecode, die wordt ingewisseld voor een toegangstoken, en mogelijk een vernieuwingstoken.

  • Het toegangstoken wordt gebruikt om API-aanroepen namens de gebruiker te doen.

  • Als de gebruiker dit accepteert, kan de aanvaller toegang krijgen tot de e-mails, doorstuurregels, bestanden, contactpersonen, notities, profiel en andere gevoelige gegevens en bronnen van de gebruiker.

    Voorbeeld van een machtigingsaanvraag

Tekenen van een aanval vinden

  1. Open het Beveiligingsnalevingscentrum&.

  2. Navigeer naar Zoeken en selecteer Zoeken in auditlogboeken.

  3. Zoek (alle activiteiten en alle gebruikers) en voer indien nodig de begin- en einddatum in en selecteer vervolgens Zoeken.

    Voorbeeld van een zoekopdracht in auditlogboeken

  4. Selecteer Resultaten filteren en voer in het veld Activiteittoestemming voor toepassing in.

    Voorbeeld van het filteren van een zoekopdracht in een auditlogboek

  5. Als u een activiteit hebt waarvoor u toestemming hebt gegeven, gaat u verder zoals hieronder wordt beschreven.

  6. Selecteer het resultaat om de details van de activiteit te bekijken. Selecteer Meer informatie om details van de activiteit op te halen.

  7. Controleer of IsAdminContent is ingesteld op 'True'.

    Notitie

    Dit proces kan 30 minuten tot 24 uur duren voordat de bijbehorende vermelding in het auditlogboek wordt weergegeven in de zoekresultaten nadat een gebeurtenis is opgetreden.

    Hoe lang een auditrecord wordt bewaard en doorzoekbaar is in het auditlogboek, is afhankelijk van uw Microsoft 365-abonnement en met name het type licentie dat is toegewezen aan een specifieke gebruiker. Als deze waarde waar is, geeft dit aan dat iemand met globale beheerderstoegang mogelijk brede toegang tot gegevens heeft verleend. Als dit onverwacht is, neemt u onmiddellijk stappen om een aanval te bevestigen.

Hoe kan ik een aanval bevestigen?

Als u een of meer exemplaren van de hierboven vermelde IOC's hebt, moet u verder onderzoek doen om positief te bevestigen dat de aanval heeft plaatsgevonden.

Apps met toegang in uw organisatie inventariseren

U kunt apps voor uw gebruikers inventariseren met behulp van de Azure Active Directory-portal of PowerShell, of uw gebruikers hun toepassingstoegang afzonderlijk laten opsommen.

  • Gebruik de Azure Active Directory-portal om toepassingen en hun machtigingen te inventariseren. Deze methode is grondig, maar u kunt slechts één gebruiker tegelijk controleren, wat tijdrovend kan zijn als u de machtigingen van meerdere gebruikers moet controleren.
  • Gebruik PowerShell om toepassingen en hun machtigingen te inventariseren. Deze methode is de snelste en grondigste, met de minste overhead.
  • Moedig uw gebruikers aan om hun apps en machtigingen afzonderlijk te controleren en de resultaten terug te rapporteren aan de beheerders voor herstel.

Apps inventariseren die zijn toegewezen aan gebruikers

U kunt de Azure Active Directory-portal gebruiken om de lijst met apps te bekijken waaraan een afzonderlijke gebruiker machtigingen heeft verleend.

  1. Meld u aan bij Azure Portal met beheerdersrechten.
  2. Selecteer het pictogram Azure Active Directory .
  3. Selecteer Gebruikers.
  4. Selecteer de gebruiker die u wilt controleren.
  5. Selecteer Toepassingen.

U ziet de lijst met apps die zijn toegewezen aan de gebruiker en de machtigingen die aan deze apps zijn verleend.

Het bereik van de aanval bepalen

Nadat u de toegang tot toepassingen hebt geïnventariseerd, bekijkt u het auditlogboek om het volledige bereik van de inbreuk te bepalen. Zoek op de betrokken gebruikers, de periodes waarin de illegale toepassing toegang had tot uw organisatie en de machtigingen die de app had. U kunt het auditlogboek doorzoeken in het Microsoft 365-beveiligings- en compliancecentrum.

Belangrijk: Als controle niet is ingeschakeld vóór de mogelijke aanval, kunt u dit niet onderzoeken omdat controlegegevens niet beschikbaar zijn.

Hoe kunt u aanvallen voorkomen en risico's beperken?

Als uw organisatie over de juiste licentie beschikt:

  • Gebruik aanvullende OAuth-toepassingscontrolefuncties in Microsoft Defender for Cloud Apps.
  • Gebruik Azure Monitor Workbooks om activiteiten met betrekking tot machtigingen en toestemming te bewaken. De werkmap Consent Insights biedt een weergave van apps op basis van het aantal mislukte toestemmingsaanvragen. Dit kan handig zijn om prioriteit te geven aan toepassingen die beheerders moeten beoordelen en beslissen of ze beheerderstoestemming moeten verlenen.

Nadat u een toepassing met illegale machtigingen hebt geïdentificeerd, schakelt u de toepassing onmiddellijk uit volgens de instructies in Een toepassing uitschakelen. Neem vervolgens contact op met Microsoft Ondersteuning om de schadelijke toepassing te melden.

Zodra een toepassing is uitgeschakeld in uw Azure AD-tenant, kan deze geen nieuwe tokens meer verkrijgen voor toegang tot gegevens en kunnen andere gebruikers zich niet aanmelden bij of toestemming verlenen aan de app.

Notitie

Als u vermoedt dat u een schadelijke toepassing in uw organisatie hebt gevonden, kunt u deze beter uitschakelen dan verwijderen. Als u de toepassing alleen verwijdert, kan deze later worden geretourneerd als een andere gebruiker toestemming verleent. Schakel in plaats daarvan de toepassing uit om ervoor te zorgen dat deze later niet meer terug kan komen.

Stappen voor het beveiligen van uw organisatie

Er zijn verschillende typen toestemmingsaanvallen, maar als u deze aanbevolen verdediging volgt, worden alle soorten aanvallen beperkt, met name toestemmingsphishing, waarbij aanvallers gebruikers verleiden om een schadelijke app toegang te verlenen tot gevoelige gegevens of andere resources. In plaats van te proberen het wachtwoord van de gebruiker te stelen, zoekt een aanvaller toestemming voor een door een aanvaller beheerde app om toegang te krijgen tot waardevolle gegevens.

Zie de volgende aanbevelingen om te voorkomen dat toestemmingsaanvallen van invloed zijn op Azure AD en Office 365:

Beleidsregels instellen

  • Deze instelling heeft gevolgen voor de gebruiker en is mogelijk niet van toepassing op een omgeving. Als u toestemming wilt geven, moet u ervoor zorgen dat de beheerders de aanvragen goedkeuren.

  • Sta alleen toestemmingen toe voor toepassingen van geverifieerde uitgevers en specifieke typen machtigingen die zijn geclassificeerd als weinig impact.

    Notitie

    De bovenstaande aanbevelingen worden voorgesteld op basis van de meest ideale, veilige configuraties. Omdat beveiliging echter een goede balans is tussen functionaliteiten en bewerkingen, kunnen de veiligste configuraties extra overhead voor beheerders veroorzaken. Het is een beslissing die het beste wordt genomen na overleg met uw beheerders.

    Stapsgewijze toestemming op basis van risico's configureren: standaard ingeschakeld als gebruikerstoestemming voor toekenningen is ingeschakeld

  • Stapsgewijze toestemming op basis van risico's helpt bij het verminderen van de blootstelling van gebruikers aan schadelijke apps die illegale toestemmingsaanvragen doen. Als Microsoft een riskante toestemmingsaanvraag voor eindgebruikers detecteert, vereist de aanvraag in plaats daarvan een 'stap omhoog' naar beheerderstoestemming. Deze mogelijkheid is standaard ingeschakeld, maar leidt alleen tot een gedragswijziging wanneer toestemming van eindgebruikers is ingeschakeld.

  • Wanneer een riskante toestemmingsaanvraag wordt gedetecteerd, wordt in de toestemmingsprompt een bericht weergegeven waarin wordt aangegeven dat goedkeuring door de beheerder is vereist. Als de werkstroom voor het aanvragen van beheerderstoestemming is ingeschakeld, kan de gebruiker de aanvraag rechtstreeks vanuit de toestemmingsprompt naar de beheerder verzenden voor verdere controle. Als dit niet is ingeschakeld, wordt het volgende bericht weergegeven:

    AADSTS90094: <clientAppDisplayName> heeft machtigingen nodig voor toegang tot resources in uw organisatie die alleen een beheerder kan verlenen. Vraag een beheerder om toestemming te verlenen voor deze app voordat u deze kunt gebruiken. In dit geval wordt ook een controlegebeurtenis geregistreerd met de categorie Van het activiteitstype 'ApplicationManagement'van 'Toestemming voor toepassing' en statusreden van 'Riskante toepassing gedetecteerd'.

Notitie

Alle taken waarvoor goedkeuring van de beheerder is vereist, hebben operationele overhead. De 'Toestemming en machtigingen, instellingen voor gebruikerstoestemming' is momenteel in preview . Zodra het gereed is voor algemene beschikbaarheid (GA), moet de functie 'Gebruikerstoestemming van geverifieerde uitgevers toestaan, voor geselecteerde machtigingen' de overhead van beheerders verminderen. Dit wordt aanbevolen voor de meeste organisaties.

Toestemming

Informeer uw toepassingsontwikkelaars om het betrouwbare app-ecosysteem te volgen. Om ontwikkelaars te helpen bij het bouwen van hoogwaardige en veilige integraties, kondigen we ook een openbare preview aan van de Integratieassistent in Azure AD app-registraties.

  • De Integratieassistent analyseert uw app-registratie en vergelijkt deze met een set aanbevolen beveiligingsprocedures.
  • De Integratieassistent markeert aanbevolen procedures die relevant zijn tijdens elke fase van de levenscyclus van uw integratie, van ontwikkeling tot bewaking, en zorgt ervoor dat elke fase correct is geconfigureerd.
  • Het is ontworpen om uw werk gemakkelijker te maken, of u nu uw eerste app integreert of een expert bent die uw vaardigheden wil verbeteren.

Informeer uw organisatie over toestemmingstactieken (phishingtactieken, beheerders- en gebruikerstoestemmingen ):

  • Controleren op slechte spelling en grammatica. Als een e-mailbericht of het toestemmingsscherm van de toepassing spel- en grammaticafouten bevat, is het waarschijnlijk een verdachte toepassing.
  • Houd app-namen en domein-URL's in de gaten. Aanvallers willen graag app-namen vervalsen waardoor deze afkomstig lijken te zijn van legitieme toepassingen of bedrijven, maar u ertoe brengen om toestemming te geven voor een schadelijke app.
  • Zorg ervoor dat u de app-naam en domein-URL herkent voordat u toestemming voor een toepassing krijgt.

Toegang tot apps die u vertrouwt promoten en toestaan

  • Promoot het gebruik van toepassingen die door de uitgever zijn geverifieerd. Verificatie van uitgevers helpt beheerders en eindgebruikers inzicht te hebben in de authenticiteit van toepassingsontwikkelaars. Meer dan 660 toepassingen door 390 uitgevers zijn tot nu toe geverifieerd.
  • Configureer beleid voor toepassingstoestemming door gebruikers alleen toestemming te geven voor specifieke toepassingen die u vertrouwt, zoals toepassingen die zijn ontwikkeld door uw organisatie of door geverifieerde uitgevers.
  • Informeer uw organisatie over hoe ons machtigingen- en toestemmingsframework werkt.
  • Krijg inzicht in de gegevens en machtigingen die een toepassing vraagt en begrijp hoe machtigingen en toestemming binnen ons platform werken.
  • Zorg ervoor dat beheerders weten hoe ze toestemmingsaanvragen moeten beheren en evalueren.

Controleer apps en toestemmingsmachtigingen in uw organisatie om ervoor te zorgen dat toepassingen die worden gebruikt alleen toegang hebben tot de gegevens die ze nodig hebben en zich houden aan de principes van minimale bevoegdheden.

Oplossingen

  • Informeer de klant en geef informatie en training over het beveiligen van toestemmingstoestemming voor toepassingen
  • Het proces voor het verlenen van toepassingstoestemming aanscherpen met organisatiebeleid en technische controles
  • Planning maken instellen om toegestaan toepassingen te controleren
  • U kunt PowerShell gebruiken om verdachte of schadelijke apps uit te schakelen door de app uit te schakelen

Referenties

De bron van de inhoud voor dit artikel is de volgende:

Aanvullende playbooks voor reactie op incidenten

Bekijk de richtlijnen voor het identificeren en onderzoeken van deze aanvullende typen aanvallen:

Resources voor incidentrespons