Изучение и исправление рискованных приложений OAuth

OAuth — это открытый стандарт для аутентификации и авторизации с помощью маркеров проверки подлинности. OAuth позволяет сторонним службам использовать сведения об учетной записи пользователя, не раскрывая пароль пользователя. OAuth выступает как посредник от имени пользователя и предоставляет службе маркер доступа, который разрешает ей получить определенные сведения об учетной записи.

Например, приложение, которое анализирует календарь пользователя и дает советы о том, как стать более продуктивным, нуждается в доступе к календарю пользователя. Вместо предоставления учетных данных пользователя OAuth позволяет приложению получать доступ к данным только на основе маркера, который создается, когда пользователь предоставляет согласие на страницу, как показано на рисунке ниже.

Многие сторонние приложения, которые могут устанавливать пользователи в вашей организации, запрашивают разрешение на доступ к сведениям о пользователе, его данным, в том числе данным его учетной записи, у других облачных приложений от имени пользователя. При установке таких приложений пользователи часто принимают условия использования, не обращая внимания на их текст, включая согласие на предоставление приложению разрешений. Принятие разрешений сторонних приложений — это потенциальный риск безопасности для вашей организации.

Например, следующая страница согласия приложения OAuth может выглядеть законно для среднего пользователя, однако "API Google Обозреватель" не должна запрашивать разрешения от самого Google. Таким образом, это означает, что приложение может быть попыткой фишинга, не связанной с Google вообще.

В качестве администратора безопасности вам требуется видимость и контроль над приложениями в вашей среде, а также разрешения, которые у них есть. Вам нужна возможность запретить использование приложений, требующих разрешения на ресурсы, которые вы хотите отозвать. Таким образом, Microsoft Defender для облака Приложения предоставляют возможность исследовать и отслеживать разрешения приложения, предоставленные пользователям. Эта статья поможет вам исследовать приложения OAuth в вашей организации, уделяя основное внимание наиболее подозрительным приложениям.

Мы рекомендуем изучить приложения с помощью возможностей и сведений, предоставленных на портале Defender для облака Apps, чтобы отфильтровать приложения с низкой вероятностью риска и сосредоточиться на подозрительных приложениях.

Из этого руководства вы узнаете, как выполнять следующие задачи:

• Обнаружение рискованных приложений OAuth
• Изучение рискованных приложений OAuth
• Устранение рискованных приложений OAuth

Примечание.

В этой статье используются примеры и снимки экрана со страницы приложений OAuth, которая используется при отключении управления приложениями.

Если вы используете предварительные версии функций и включили управление приложениями, то те же функции доступны на странице управления приложениями .

Дополнительные сведения см. в разделе "Управление приложениями" в Microsoft Defender для облака Apps.

Обнаружение рискованных приложений OAuth

Обнаружение рискованного приложения OAuth можно выполнить с помощью:

• Оповещения. Реагирование на оповещение, активируется существующей политикой.
• Охота: поиск рискованного приложения среди всех доступных приложений без конкретных подозрений в риске.

Обнаружение рискованных приложений с помощью оповещений

Политики можно настроить для автоматической отправки уведомлений, когда приложение OAuth соответствует определенным критериям. Например, можно настроить политику для автоматического уведомления о обнаружении приложения, требующего высоких разрешений и авторизованного более чем 50 пользователями. Дополнительные сведения о создании политик OAuth см. в политиках приложений OAuth.

Обнаружение рискованных приложений путем охоты

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к приложениям OAuth. Используйте фильтры и запросы для проверки того, что происходит в вашей среде:

   • Задайте для фильтра высокий уровень серьезности разрешений, и сообщество используется не часто. С помощью этого фильтра можно сосредоточиться на приложениях, которые потенциально рискуют, где пользователи могут недооценивать риск.

   • В разделе "Разрешения" выберите все параметры, которые особенно рискованны в определенном контексте. Например, можно выбрать все фильтры, предоставляющие разрешение на доступ по электронной почте, например полный доступ ко всем почтовым ящикам , а затем просмотреть список приложений, чтобы убедиться, что все они действительно нуждаются в доступе к почте. Это поможет вам исследовать в определенном контексте и найти приложения, которые кажутся законными, но содержат ненужные разрешения. Эти приложения, скорее всего, рискуют.

     

   • Выберите сохраненные приложения запросов , авторизованные внешними пользователями. С помощью этого фильтра можно найти приложения, которые могут не соответствовать стандартам безопасности вашей компании.

2. После просмотра приложений вы можете сосредоточиться на приложениях в запросах, которые кажутся законными, но на самом деле могут быть рискованными. Используйте фильтры для их поиска:

   • Фильтрация приложений, авторизованных небольшим количеством пользователей. Исследовав такие приложения, вы можете обнаружить опасные приложения, которые были авторизованы скомпрометированным пользователем.
   • Приложения с разрешениями, которые не соответствуют назначению приложения, например часовое приложение с полным доступом ко всем почтовым ящикам.

3. Выберите каждое приложение, чтобы открыть ящик приложения и проверка, чтобы узнать, имеет ли приложение подозрительное имя, издатель или веб-сайт.

4. Обратите внимание на приложения со старой датой в столбце Последняя авторизация. Такие приложения могут быть ненужными.

   

Как исследовать подозрительные приложения OAuth

После того как вы определите, что приложение является подозрительным и хотите изучить его, рекомендуется использовать следующие основные принципы для эффективного исследования:

• Чем чаще и используется приложение, либо вашей организацией, либо через Интернет, тем более вероятно, что это безопасно.
• Приложению должны потребоваться только разрешения, связанные с целью приложения. Если это не так, приложение может быть рискованным.
• Приложения, которым требуются высокие привилегии или согласие администратора, скорее всего, рискуют.

1. Выберите приложение, чтобы открыть ящик приложения и выбрать ссылку в разделе "Связанные действия". Откроется страница журнала действий с отфильтрованными действиями, которые выполняет это приложение. Имейте в виду, что некоторые действия приложений регистрируются как выполняемые пользователем действия. Эти действия, автоматически исключаются из результатов фильтрации в журнале действий. Сведения о дальнейшем исследовании с использованием журнала действий см. в статье о журнале действий.
2. В ящике выберите действия "Согласие", чтобы изучить согласие пользователя на приложение в журнале действий.
3. Если приложение кажется подозрительным, рекомендуется исследовать имя и издателя приложения в разных магазинах приложений. Сосредоточьтесь на следующих приложениях, которые могут быть подозрениями:
   • Приложения с небольшим количеством скачиваний.
   • Приложения с низкой оценкой или негативными отзывами.
   • Приложения с подозрительным издателем или веб-сайтом.
   • Приложения, последние обновления которых не последние. Это может означать, что приложение больше не поддерживается.
   • Приложения с несоответствующими разрешениями. Это может означать, что приложение является опасным.
4. Если приложение все равно вызывает у вас подозрение, еще раз поищите в Интернете сведения о его издателе и веб-сайт приложения.
5. Аудит приложения OAuth можно экспортировать для дальнейшего анализа пользователей, авторизованных приложением. Дополнительные сведения см. в статье об аудите приложений OAuth.

Устранение подозрительных приложений OAuth

После определения рискованного приложения OAuth Defender для облака Apps предоставляет следующие параметры исправления:

• Исправление вручную. Вы можете легко запретить приложение на странице приложений OAuth

• Автоматическое исправление. Вы можете создать политику, которая автоматически отменяет приложение или отменяет конкретного пользователя из приложения.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.