Investigar e corrigir aplicativos OAuth suspeitos

O OAuth é um padrão aberto para autenticação e autorização baseada em token. O OAuth permite que as informações da conta do usuário sejam usadas por serviços de terceiros, sem expor a senha do usuário. O OAuth atua como um intermediário em nome do usuário, fornecendo o serviço com um token de acesso que autoriza o compartilhamento de informações de conta específicas.

Por exemplo, um aplicativo que analisa o calendário do usuário e dá conselhos sobre como aumentar a produtividade precisa de acesso ao calendário do usuário. Em vez de fornecer as credenciais do usuário, o OAuth permite que o aplicativo obtenha acesso aos dados com base apenas em um token, que é gerado quando o usuário fornece consentimento a uma página, como pode ser visto na imagem abaixo.

Muitos aplicativos de terceiros, que podem ser instalados por usuários corporativos da sua organização, solicitam permissão para acessar dados e informações de usuário e entrar, em nome do usuário, em outros aplicativos de nuvem. Quando os usuários instalam esses aplicativos, eles geralmente clicam em aceitar sem examinar atentamente os detalhes na solicitação, incluindo a concessão de permissões para o aplicativo. Aceitar permissões de aplicativos de terceiros é um risco potencial à segurança de sua organização.

Por exemplo, a página de consentimento a seguir do aplicativo OAuth pode parecer legítima para o usuário comum, no entanto, o "Google APIs Explorer" não precisaria solicitar permissões do próprio Google. Portanto, isso indica que o aplicativo pode ser uma tentativa de phishing e não estar relacionado ao Google de forma alguma.

Como administrador de segurança, você precisa de visibilidade e controle sobre os aplicativos no seu ambiente e isso inclui as permissões que eles têm. Você precisa da capacidade de impedir o uso de aplicativos que exigem permissão para recursos que deseja revogar. Portanto, o Microsoft Defender para Aplicativos de Nuvem fornece a capacidade de investigar e monitorar as permissões de aplicativo concedidas pelos usuários. Esse artigo destina-se a ajudar você a investigar os aplicativos de OAuth em sua organização, e se concentrar nos aplicativos com maior probabilidade de levantar suspeitas.

Nossa abordagem recomendada é investigar os aplicativos usando as habilidades e informações fornecidas no Portal do Defender para Aplicativos de Nuvem para filtrar aplicativos com baixa chance de serem arriscados e concentrar-se nos aplicativos suspeitos.

Neste tutorial, você aprenderá como:

• Detectar aplicativos OAuth arriscados
• Investigar aplicativos OAuth suspeitos
• Corrigir aplicativos OAuth arriscados

Observação

Este artigo usa exemplos e capturas de tela da página de aplicativos OAuth, que é usada quando você não tem a governança de aplicativos ativada.

Se você estiver usando recursos de visualização e tiver a governança do aplicativo ativada, a mesma funcionalidade estará disponível na página Governança do aplicativo.

Para obter mais informações, confira Governança de aplicativos do Microsoft Defender para Aplicativos de Nuvem.

Como detectar aplicativos OAuth arriscados

A detecção de um aplicativo OAuth arriscado pode ser realizada usando:

• Alertas: reaja a um alerta acionado por uma política existente.
• Busca: pesquise um aplicativo arriscado entre todos os aplicativos disponíveis, sem uma suspeita concreta de risco.

Detecte aplicativos arriscados usando alertas

Você pode definir políticas para enviar notificações automaticamente quando um aplicativo OAuth atende a determinados critérios. Por exemplo, você pode definir uma política para notificar automaticamente quando é detectado um aplicativo que requer altas permissões e foi autorizado por mais de 50 usuários. Para obter mais informações sobre como criar políticas OAuth, confira Políticas de aplicativo OAuth.

Detecte aplicativos arriscados com a busca

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Aplicativos OAuth. Use filtros e consultas para revisar os acontecimentos no seu ambiente:

   • Defina o filtro como Nível de permissão de alta severidade e Uso comunitário não comum. Usando esse filtro, você pode se concentrar em aplicativos potencialmente muito arriscados, nos quais os usuários podem ter subestimado o risco.

   • Em Permissões, selecione todas as opções que são particularmente arriscadas em um contexto específico. Por exemplo, você pode selecionar todos os filtros que fornecem permissão para acesso a emails, como Acesso completo a todas as caixas de correio e examinar a lista de aplicativos para garantir que todos eles realmente precisam de acesso relacionado a emails. Isso pode auxiliar a investigar em um contexto específico e encontrar aplicativos que parecem legítimos, mas contêm permissões desnecessárias. Esses aplicativos têm maior probabilidade de serem arriscados.

     

   • Selecione a consulta salva Aplicativos autorizados por usuários externos. Usando esse filtro, você pode encontrar aplicativos que podem não estar alinhados com os padrões de segurança de sua empresa.

2. Após examinar seus aplicativos, você pode se concentrar nos aplicativos das consultas que parecem legítimos, mas que podem ser arriscados. Use os filtros para encontrá-los:

   • Filtre aplicativos autorizados por um pequeno número de usuários. Se você se concentrar nesses aplicativos, poderá procurar por aplicativos arriscados que foram autorizados por um usuário comprometido.
   • Aplicativos que têm permissões que não correspondem à finalidade do aplicativo, por exemplo, um aplicativo de relógio com acesso total a todas as caixas de correio.

3. Selecione cada aplicativo para abrir a gaveta de aplicativos e verifique se o aplicativo tem nome, editor ou site suspeito.

4. Examine a lista de aplicativos e aplicativos de destino cuja data em Última autorização não seja recente. Pode ser que esses aplicativos não sejam mais necessários.

   

Como investigar aplicativos OAuth suspeitos

Depois de determinar que um aplicativo é suspeito e que deseja investigá-lo, recomendamos os seguintes princípios fundamentais para uma investigação eficiente:

• Quanto mais comum e usado for um aplicativo, seja pela sua organização ou online, maior a probabilidade de ser seguro.
• Um aplicativo deve exigir apenas permissões relacionadas à finalidade dele. Se esse não for o caso, o aplicativo poderá ser arriscado.
• Aplicativos que exigem altos privilégios ou consentimento do administrador têm maior probabilidade de serem arriscados.

1. Selecione o aplicativo para abrir a gaveta de aplicativos e selecione o link em Atividades relacionadas. A página do Log de atividades filtrada para as atividades executadas pelo aplicativo será aberta. Lembre-se de que alguns aplicativos realizam atividades que foram registradas como executadas por um usuário. Essas atividades são filtradas automaticamente e excluídas dos resultados no Log de atividades. Para uma investigação adicional usando o log de atividades, confira Log de atividades.
2. Na gaveta, selecione Atividades de consentimento para investigar os consentimentos do usuário para o aplicativo no log de atividades.
3. Se um aplicativo parecer suspeito, recomendamos que você investigue o nome e o editor do aplicativo em diferentes lojas de aplicativos. Concentre-se nos seguintes aplicativos, que podem ser suspeitos:
   • Aplicativos com um número baixo de downloads.
   • Aplicativos com uma classificação ou pontuação baixas ou comentários negativos.
   • Aplicativos com um editor ou website suspeito.
   • Aplicativos cuja última atualização não é recente. Isso pode indicar um aplicativo que não tem mais suporte.
   • Aplicativos com permissões irrelevantes. Isso pode indicar que um aplicativo é arriscado.
4. Se o aplicativo ainda for suspeito, você poderá pesquisar online o editor e a URL do nome do aplicativo.
5. Você pode exportar a auditoria do aplicativo OAuth para análise adicional dos usuários que autorizaram um aplicativo. Para obter mais informações, consulte Auditoria de aplicativos OAuth.

Como corrigir aplicativos OAuth suspeitos

Depois de determinar que um aplicativo OAuth é arriscado, o Defender para Aplicativos de Nuvem fornece as opções de correção a seguir.

• Correção manual: você pode revogar um aplicativo da página de aplicativos OAuth com facilidade

• Correção automática: você pode criar uma política que revogue automaticamente um aplicativo ou um usuário específico de um aplicativo.

Próximas etapas

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.