Investigar e remediar aplicações OAuth de risco

OAuth é um padrão aberto para autenticação e autorização baseadas em tokens. O OAuth permite que as informações da conta de um usuário sejam usadas por serviços de terceiros, sem expor a senha do usuário. O OAuth atua como intermediário em nome do usuário, fornecendo ao serviço um token de acesso que autoriza o compartilhamento de informações específicas da conta.

Por exemplo, um aplicativo que analisa o calendário do usuário e dá conselhos sobre como se tornar mais produtivo, precisa acessar o calendário do usuário. Em vez de fornecer as credenciais do usuário, o OAuth permite que o aplicativo tenha acesso aos dados com base apenas em um token, que é gerado quando o usuário fornece consentimento para uma página, como pode ser visto na imagem abaixo.

Muitas aplicações de terceiros que podem ser instaladas por utilizadores empresariais na sua organização, solicitam permissão para aceder a informações e dados do utilizador e iniciam sessão em nome do utilizador noutras aplicações na nuvem. Quando os usuários instalam esses aplicativos, geralmente clicam em aceitar sem revisar de perto os detalhes no prompt, incluindo a concessão de permissões para o aplicativo. Aceitar permissões de aplicativos de terceiros é um risco de segurança potencial para sua organização.

Por exemplo, a seguinte página de consentimento do aplicativo OAuth pode parecer legítima para o usuário comum, no entanto, o "Google APIs Explorer" não precisa solicitar permissões do próprio Google. Portanto, isso indica que o aplicativo pode ser uma tentativa de phishing, não relacionada ao Google.

Como administrador de segurança, você precisa de visibilidade e controle sobre os aplicativos em seu ambiente e isso inclui as permissões que eles têm. Você precisa da capacidade de impedir o uso de aplicativos que exigem permissão para recursos que você deseja revogar. Portanto, o Microsoft Defender for Cloud Apps fornece a capacidade de investigar e monitorar as permissões de aplicativo concedidas aos usuários. Este artigo é dedicado a ajudá-lo a investigar os aplicativos OAuth em sua organização e se concentrar nos aplicativos com maior probabilidade de serem suspeitos.

Nossa abordagem recomendada é investigar os aplicativos usando as habilidades e informações fornecidas no portal do Defender for Cloud Apps para filtrar aplicativos com baixa chance de serem arriscados e focar nos aplicativos suspeitos.

Neste tutorial, irá aprender a:

• Detetar aplicativos OAuth arriscados
• Investigar aplicações OAuth de risco
• Corrija aplicativos OAuth arriscados

Nota

Este artigo usa exemplos e capturas de tela da página de aplicativos OAuth, que é usada quando você não tem a governança de aplicativos ativada.

Se estiver a utilizar funcionalidades de pré-visualização e tiver a governação da aplicação ativada, a mesma funcionalidade estará disponível na página Governação da aplicação.

Para obter mais informações, consulte Governança de aplicativos no Microsoft Defender for Cloud Apps.

Como detetar aplicativos OAuth arriscados

A deteção de um aplicativo OAuth arriscado pode ser realizada usando:

• Alertas: reaja a um alerta acionado por uma política existente.
• Caça: Procure uma aplicação arriscada entre todas as aplicações disponíveis, sem suspeita concreta de risco.

Detetar aplicativos arriscados usando alertas

Você pode definir políticas para enviar notificações automaticamente quando um aplicativo OAuth atender a determinados critérios. Por exemplo, você pode definir uma política para notificá-lo automaticamente quando um aplicativo for detetado que exija altas permissões e tenha sido autorizado por mais de 50 usuários. Para obter mais informações sobre como criar políticas OAuth, consulte Políticas do aplicativo OAuth.

Detete aplicativos arriscados caçando

1. No Portal do Microsoft Defender, em Cloud Apps, vá para aplicativos OAuth. Use os filtros e consultas para analisar o que está acontecendo em seu ambiente:

   • Defina o filtro como Nível de permissão de alta severidade e uso da comunidade não comum. Usando esse filtro, você pode se concentrar em aplicativos que são potencialmente muito arriscados, onde os usuários podem ter subestimado o risco.

   • Em Permissões , selecione todas as opções que são particularmente arriscadas em um contexto específico. Por exemplo, você pode selecionar todos os filtros que fornecem permissão para acesso a email, como Acesso total a todas as caixas de correio e, em seguida, revisar a lista de aplicativos para certificar-se de que todos eles realmente precisam de acesso relacionado a email. Isso pode ajudá-lo a investigar dentro de um contexto específico e encontrar aplicativos que parecem legítimos, mas contêm permissões desnecessárias. É mais provável que essas aplicações sejam arriscadas.

     

   • Selecione a consulta salva Aplicativos autorizados por usuários externos. Usando esse filtro, você pode encontrar aplicativos que podem não estar alinhados com os padrões de segurança da sua empresa.

2. Depois de rever as suas aplicações, pode concentrar-se nas aplicações nas consultas que parecem legítimas, mas que podem ser arriscadas. Use os filtros para encontrá-los:

   • Filtre aplicativos autorizados por um pequeno número de usuários. Se você se concentrar nesses aplicativos, poderá procurar aplicativos arriscados que foram autorizados por um usuário comprometido.
   • Aplicativos que têm permissões que não correspondem à finalidade do aplicativo, por exemplo, um aplicativo de relógio com acesso total a todas as caixas de correio.

3. Selecione cada aplicativo para abrir a gaveta de aplicativos e verifique se o aplicativo tem um nome, editor ou site suspeito.

4. Veja a lista de aplicações e aplicações de destino que têm uma data em Última autorização que não é recente. Esses aplicativos podem não ser mais necessários.

   

Como investigar aplicativos OAuth suspeitos

Depois de determinar que um aplicativo é suspeito e você deseja investigá-lo, recomendamos os seguintes princípios-chave para uma investigação eficiente:

• Quanto mais comum e usado for um aplicativo, seja pela sua organização ou online, maior a probabilidade de ele ser seguro.
• Um aplicativo deve exigir apenas permissões relacionadas à finalidade do aplicativo. Se esse não for o caso, o aplicativo pode ser arriscado.
• Aplicativos que exigem altos privilégios ou consentimento do administrador são mais propensos a serem arriscados.

1. Selecione o aplicativo para abrir a gaveta de aplicativos e selecione o link em Atividades relacionadas. Isso abre a página Registro de atividades filtrada para atividades realizadas pelo aplicativo. Lembre-se de que alguns aplicativos executam atividades registradas como tendo sido executadas por um usuário. Essas atividades são filtradas automaticamente dos resultados no registro de atividades. Para obter mais investigação usando o log de atividades, consulte Registro de atividades.
2. Na gaveta, selecione Atividades de consentimento para investigar os consentimentos do usuário para o aplicativo no registro de atividades.
3. Se uma aplicação parecer suspeita, recomendamos que investigue o nome e o editor da aplicação em diferentes lojas de aplicações. Concentre-se nos seguintes aplicativos, que podem ser suspeitas:
   • Aplicações com um baixo número de downloads.
   • Aplicações com uma classificação ou pontuação baixa ou comentários negativos.
   • Aplicações com um editor ou Web site suspeito.
   • Aplicações cuja última atualização não é recente. Isso pode indicar um aplicativo que não é mais suportado.
   • Aplicações com permissões irrelevantes. Isso pode indicar que um aplicativo é arriscado.
4. Se o aplicativo ainda estiver suspeito, você poderá pesquisar o nome, o editor e o URL do aplicativo online.
5. Você pode exportar a auditoria do aplicativo OAuth para uma análise mais aprofundada dos usuários que autorizaram um aplicativo. Para obter mais informações, consulte Auditoria de aplicativos OAuth.

Como corrigir aplicativos OAuth suspeitos

Depois de determinar que um aplicativo OAuth é arriscado, o Defender for Cloud Apps fornece as seguintes opções de correção:

• Correção manual: você pode facilmente banir revogar um aplicativo da página de aplicativos OAuth

• Correção automática: você pode criar uma política que revogue automaticamente um aplicativo ou revogue um usuário específico de um aplicativo.

Próximos passos

Práticas recomendadas para proteger sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.