Dela via


Identifiera och åtgärda otillåtna medgivandebidrag

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Sammanfattning Lär dig hur du identifierar och åtgärdar det olagliga medgivandet beviljar angrepp i Microsoft 365.

I en attack med otillåtet medgivande skapar angriparen ett Azure-registrerat program som begär åtkomst till data, till exempel kontaktinformation, e-post eller dokument. Angriparen lurar sedan en slutanvändare att bevilja programmet tillstånd att komma åt sina data antingen genom en nätfiskeattack eller genom att mata in otillåten kod på en betrodd webbplats. När det olagliga programmet har beviljats medgivande har det åtkomst på kontonivå till data utan behov av ett organisationskonto. Normala reparationssteg (till exempel återställning av lösenord eller krav på multifaktorautentisering (MFA)) är inte effektiva mot den här typen av angrepp, eftersom dessa appar är externa för organisationen.

Dessa attacker använder en interaktionsmodell som förutsätter att entiteten som anropar informationen är automatisering och inte en människa.

Viktigt

Misstänker du att du har problem med olagliga medgivandebidrag från en app just nu? Microsoft Defender for Cloud Apps har verktyg för att identifiera, undersöka och åtgärda dina OAuth-appar. Den här Defender for Cloud Apps artikeln innehåller en självstudiekurs som beskriver hur du undersöker riskfyllda OAuth-appar. Du kan också ange OAuth-appprinciper för att undersöka appbegärande behörigheter, vilka användare som auktoriserar dessa appar, och godkänna eller förbjuda dessa behörighetsbegäranden i stor utsträckning.

Du måste söka i granskningsloggen för att hitta tecken, även kallade indikatorer för kompromiss (IOK) för den här attacken. För organisationer med många Azure-registrerade program och en stor användarbas är bästa praxis att granska dina organisationers medgivandebidrag varje vecka.

Steg för att hitta tecken på den här attacken

  1. Öppna Microsoft Defender-portalen på https://security.microsoft.com och välj sedan Granska. Eller om du vill gå direkt till sidan Granskning använder du https://security.microsoft.com/auditlogsearch.

  2. På sidan Granskning kontrollerar du att fliken Sök är markerad och konfigurerar sedan följande inställningar:

    • Datum- och tidsintervall
    • Aktiviteter: Kontrollera att Visa resultat för alla aktiviteter har valts.

    När du är klar väljer du Sök.

  3. Välj kolumnen Aktivitet för att sortera resultaten och leta efter Medgivande till program.

  4. Välj en post i listan för att se information om aktiviteten. Kontrollera om IsAdminConsent är inställt på Sant.

Obs!

Det kan ta från 30 minuter upp till 24 timmar innan motsvarande granskningsloggpost visas i sökresultatet när en händelse inträffar.

Hur lång tid en granskningspost behålls och kan sökas i granskningsloggen beror på din Microsoft 365-prenumeration, och specifikt vilken typ av licens som är tilldelad till en specifik användare. Mer information finns i Granskningslogg.

Värdet är sant anger att någon med global administratörsåtkomst kan ha beviljat bred åtkomst till data. Om det här värdet är oväntat vidtar du åtgärder för att bekräfta en attack.

Så här bekräftar du en attack

Om du har en eller flera instanser av de IOCs som angavs tidigare måste du göra ytterligare undersökning för att bekräfta att attacken inträffade. Du kan använda någon av dessa tre metoder för att bekräfta attacken:

  • Inventeringsprogram och deras behörigheter med hjälp av Microsoft Entra administrationscenter. Den här metoden är grundlig, men du kan bara kontrollera en användare i taget som kan vara mycket tidskrävande om du har många användare att kontrollera.
  • Inventeringsprogram och deras behörigheter med Hjälp av PowerShell. Det här är den snabbaste och mest grundliga metoden, med minst omkostnader.
  • Låt användarna kontrollera sina appar och behörigheter individuellt och rapportera resultaten till administratörerna för reparation.

Inventera appar med åtkomst i din organisation

Du har följande alternativ för att inventera appar för dina användare:

  • Microsoft Entra administrationscenter.
  • PowerShell.
  • Låt användarna räkna upp sin egen programåtkomst individuellt.

Steg för att använda Microsoft Entra administrationscenter

Du kan leta upp de program som en enskild användare har beviljat behörigheter till med hjälp av Microsoft Entra administrationscenter:

  1. Öppna Microsoft Entra administrationscenter på https://entra.microsoft.comoch gå sedan till Identitetsanvändare>>Alla användare. Om du vill gå direkt till Användare>Alla användare använder du https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Leta upp och välj den användare som du vill granska genom att klicka på värdet Visningsnamn .
  3. På sidan användarinformation som öppnas väljer du Program.

De här stegen visar de appar som har tilldelats användaren och vilka behörigheter programmen har.

Steg för att låta användarna räkna upp sin programåtkomst

Be användarna gå till https://myapps.microsoft.com och granska sin egen programåtkomst där. De bör kunna se alla appar med åtkomst, visa information om dem (inklusive åtkomstomfånget) och kunna återkalla behörigheter till misstänkta eller olagliga appar.

Steg i PowerShell

Det enklaste sättet att verifiera attacken för beviljande av otillåtet medgivande är att köra Get-AzureADPSPermissions.ps1, som dumpar alla OAuth-medgivande beviljar och OAuth-appar för alla användare i din innehavarorganisation i en .csv fil.

Förhandskrav

  • PowerShell-biblioteket Azure AD installerat.
  • Globala administratörsbehörigheter i organisationen där skriptet körs.
  • Behörigheter för lokal administratör på den dator där du kör skripten.

Viktigt

Vi rekommenderar starkt att du behöver multifaktorautentisering på ditt administratörskonto. Det här skriptet stöder MFA-autentisering.

Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Obs!

Azure AD Powershell planeras att fasas ut den 30 mars 2024. Mer information finns i utfasningsuppdateringen.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Microsoft Graph PowerShell ger åtkomst till alla Microsoft Graph-API:er och är tillgängligt i PowerShell 7. Svar på vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering.

  1. Logga in på den dator där du vill köra skripten med lokal administratörsbehörighet.

  2. Ladda ned eller kopiera Get-AzureADPSPermissions.ps1 skriptet från GitHub till en mapp som är lätt att hitta och komma ihåg. I den här mappen måste du också skriva utdatafilen "permissions.csv".

  3. Öppna en upphöjd PowerShell-session som administratör i mappen där du sparade skriptet.

  4. Anslut till din katalog med cmdleten Connect-MgGraph .

  5. Kör det här PowerShell-kommandot:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Skriptet skapar en fil med namnet Permissions.csv. Följ dessa steg för att söka efter otillåtna programbehörighetsbidrag:

  1. I kolumnen ConsentType (kolumn G) söker du efter värdet "AllPrinciples". Med behörigheten AllPrincipals kan klientprogrammet komma åt allas innehåll i innehavet. Interna Microsoft 365-program behöver den här behörigheten för att fungera korrekt. Alla program som inte kommer från Microsoft med den här behörigheten bör granskas noggrant.

  2. I kolumnen Behörighet (kolumn F) granskar du de behörigheter som varje delegerat program har till innehåll. Leta efter behörigheten "Läsa" och "Skriv" eller "Alla" och granska dessa behörigheter noggrant, eftersom de kanske inte är lämpliga.

  3. Granska de specifika användare som har medgivanden beviljade. Om användare med hög profil eller högt värde har olämpligt medgivande bör du undersöka vidare.

  4. Leta efter appar som verkar misstänkta i kolumnen ClientDisplayName (kolumn C). Appar med felstavade namn, super intetsägande namn eller hackerljudande namn bör granskas noggrant.

Fastställa omfattningen av attacken

När du har slutfört inventeringen av programåtkomsten granskar du granskningsloggen för att fastställa hela omfattningen av överträdelsen. Sök efter berörda användare, tidsramarna för att det otillåtna programmet hade åtkomst till din organisation och de behörigheter som appen hade. Du kan söka i granskningsloggen i Microsoft Defender-portalen.

Viktigt

Granskning av postlådor och aktivitetsgranskning för administratörer och användare måste ha aktiverats före attacken för att du ska få den här informationen.

När du har identifierat programmet med otillåtna behörigheter kan du ta bort den åtkomsten på flera sätt:

  • Du kan återkalla programmets behörighet i Microsoft Entra administrationscenter genom att göra följande:

    1. Öppna Microsoft Entra administrationscenter på https://entra.microsoft.comoch gå sedan till Identitetsanvändare>>Alla användare. Om du vill gå direkt till Användare>Alla användare använder du https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Leta upp och välj den berörda användaren genom att klicka på värdet Visningsnamn .
    3. På sidan användarinformation som öppnas väljer du Program.
    4. På sidan Program väljer du det otillåtna programmet genom att klicka på värdet Namn .
    5. På sidan Tilldelningsinformation som öppnas väljer du Ta bort.
  • Du kan återkalla OAuth-medgivandebeviljande med PowerShell genom att följa stegen i Remove-MgOauth2PermissionGrant

  • Du kan återkalla rolltilldelningen för tjänstappen med PowerShell genom att följa stegen i Remove-MgServicePrincipalAppRoleAssignment.

  • Du kan inaktivera inloggning för det berörda kontot, vilket inaktiverar åtkomsten till data i kontot av appen. Den här åtgärden är inte idealisk för användarproduktivitet, men det kan vara en kortsiktig åtgärd för att snabbt begränsa resultatet av attacken.

  • Du kan inaktivera integrerade program i din organisation. Den här åtgärden är drastisk. Även om det hindrar användare från att av misstag bevilja åtkomst till en skadlig app, förhindrar det också att alla användare beviljar medgivande till program. Vi rekommenderar inte den här åtgärden eftersom den allvarligt försämrar användarproduktiviteten med program från tredje part. Du kan inaktivera integrerade appar genom att följa stegen i Aktivera eller inaktivera integrerade appar.

Se även