Aracılığıyla paylaş

Riskli OAuth uygulamalarını araştırma ve düzeltme

  • Makale

OAuth, belirteç tabanlı kimlik doğrulaması ve yetkilendirme için açık bir standarttır. OAuth, kullanıcının parolasını göstermeden kullanıcının hesap bilgilerinin üçüncü taraf hizmetler tarafından kullanılmasını sağlar. OAuth, kullanıcı adına aracı görevi görür ve hizmete belirli hesap bilgilerinin paylaşılması için yetki veren bir erişim belirteci sağlar.

Örneğin, kullanıcının takvimini analiz eden ve daha üretken olma konusunda önerilerde bulunan bir uygulamanın kullanıcının takvimine erişmesi gerekir. OAuth, kullanıcının kimlik bilgilerini sağlamak yerine uygulamanın verilere yalnızca belirteç temelinde erişmesini sağlar. Bu, aşağıdaki resimde görüldüğü gibi kullanıcı bir sayfaya onay sağladığında oluşturulur.

OAuth uygulama izni.

Kuruluşunuzdaki iş kullanıcıları tarafından yüklenebilen birçok üçüncü taraf uygulaması, kullanıcı bilgilerine ve verilerine erişmek için izin isteyin ve diğer bulut uygulamalarında kullanıcı adına oturum açın. Kullanıcılar bu uygulamaları yüklediğinde, genellikle uygulamaya izin verme de dahil olmak üzere istemdeki ayrıntıları yakından incelemeden kabul et'e tıklarlar. Üçüncü taraf uygulama izinlerini kabul etmek kuruluşunuz için olası bir güvenlik riskidir.

Örneğin, aşağıdaki OAuth uygulama onayı sayfası ortalama bir kullanıcı için geçerli görünebilir, ancak "Google API Gezgini"nin Google'ın kendisinden izin istemesi gerekmez. Dolayısıyla bu, uygulamanın Google ile hiç ilgili değil kimlik avı girişimi olabileceğini gösterir.

OAuth kimlik avı google.

Güvenlik yöneticisi olarak ortamınızdaki uygulamalar üzerinde görünürlük ve denetime ihtiyacınız vardır ve bu da sahip oldukları izinleri içerir. İptal etmek istediğiniz kaynaklar için izin gerektiren uygulamaların kullanımını engelleme özelliğine sahip olmanız gerekir. Bu nedenle, Bulut için Microsoft Defender Uygulamaları size kullanıcılarınızın verdiği uygulama izinlerini araştırma ve izleme olanağı sağlar. Bu makale, kuruluşunuzdaki OAuth uygulamalarını araştırmanıza ve şüpheli olma olasılığı daha yüksek uygulamalara odaklanmanıza yardımcı olmaya ayrılmıştır.

Önerilen yaklaşımımız, riskli olma olasılığı düşük olan uygulamaları filtrelemek ve şüpheli uygulamalara odaklanmak için Bulut için Defender Uygulamalar portalında sağlanan yetenekleri ve bilgileri kullanarak uygulamaları araştırmaktır.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Not

Bu makalede, uygulama idaresi açık olmadığında kullanılan OAuth uygulamaları sayfasındaki örnekler ve ekran görüntüleri kullanılmaktadır.

Önizleme özelliklerini kullanıyorsanız ve uygulama idaresi açıksa, bunun yerine uygulama idaresi sayfasında da aynı işlevler kullanılabilir.

Daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamalarında uygulama idaresi.

Riskli OAuth uygulamalarını algılama

Riskli bir OAuth uygulamasını algılamak şu şekilde gerçekleştirilebilir:

  • Uyarılar: Mevcut bir ilke tarafından tetiklenen bir uyarıya tepki verin.
  • Avlanma: Risk şüphesi olmadan tüm kullanılabilir uygulamalar arasında riskli bir uygulama arayın.

Uyarıları kullanarak riskli uygulamaları algılama

OAuth uygulaması belirli ölçütleri karşıladığında size otomatik olarak bildirim göndermek için ilkeler ayarlayabilirsiniz. Örneğin, yüksek izinler gerektiren ve 50'den fazla kullanıcı tarafından yetkilendirilmiş bir uygulama algılandığında sizi otomatik olarak bilgilendirecek bir ilke ayarlayabilirsiniz. OAuth ilkeleri oluşturma hakkında daha fazla bilgi için bkz . OAuth uygulama ilkeleri.

Tehdit avcılığı yaparak riskli uygulamaları algılama

  1. Microsoft Defender Portalı'nda, Cloud Apps'in altında OAuth uygulamaları'na gidin. Ortamınızda neler olduğunu gözden geçirmek için filtreleri ve sorguları kullanın:

    • Filtreyi İzin düzeyi yüksek önem derecesi ve Topluluk kullanımı yaygın değil olarak ayarlayın. Bu filtreyi kullanarak, kullanıcıların riski hafife almış olabileceği çok riskli uygulamalara odaklanabilirsiniz.

    • İzinler'in altında belirli bir bağlamda özellikle riskli olan tüm seçenekleri belirleyin. Örneğin, tüm posta kutularına tam erişim gibi e-posta erişimi izni sağlayan tüm filtreleri seçebilir ve sonra hepsinin postayla ilgili erişime gerçekten ihtiyaç duyduğundan emin olmak için uygulama listesini gözden geçirebilirsiniz. Bu, belirli bir bağlam içinde araştırmanıza ve yasal görünse de gereksiz izinler içeren uygulamaları bulmanıza yardımcı olabilir. Bu uygulamaların riskli olma olasılığı daha yüksektir.

      OAuth kimlik avı risklidir.

    • Dış kullanıcılar tarafından yetkilendirilmiş kayıtlı sorguYuklu uygulamalar'ı seçin. Bu filtreyi kullanarak şirketinizin güvenlik standartlarıyla uyumlu olmayan uygulamalar bulabilirsiniz.

  2. Uygulamalarınızı gözden geçirdikten sonra, yasal görünen ancak aslında riskli olabilecek sorgulardaki uygulamalara odaklanabilirsiniz. Filtreleri kullanarak bunları bulun:

    • Az sayıda kullanıcı tarafından yetkilendirilmiş uygulamalar için filtreleyin. Bu uygulamalara odaklanırsanız, güvenliği aşılmış bir kullanıcı tarafından yetkilendirilmiş riskli uygulamaları arayabilirsiniz.
    • Uygulamanın amacıyla eşleşmeyen izinlere sahip uygulamalar, örneğin tüm posta kutularına tam erişimi olan bir saat uygulaması.

  3. Uygulama çekmecesini açmak için her uygulamayı seçin ve uygulamanın şüpheli bir adı, yayımcısı veya web sitesi olup olmadığını denetleyin.

  4. Son yetkilendirilen ve yakın zamanda olmayan bir tarihi olan uygulamaların ve hedef uygulamaların listesine bakın. Bu uygulamalar artık gerekli olmayabilir.

    OAuth uygulama çekmecesi.

Şüpheli OAuth uygulamalarını araştırma

Bir uygulamanın şüpheli olduğunu belirledikten ve araştırmak istediğinizde, etkili araştırma için aşağıdaki temel ilkeleri öneririz:

  • Kuruluşunuz veya çevrimiçi ortamda kullanılan bir uygulama ne kadar yaygın ve kullanılırsa güvenli olma olasılığı da o kadar yüksektir.
  • Bir uygulama yalnızca uygulamanın amacıyla ilgili izinler gerektirmelidir. Böyle bir durum söz konusu değilse uygulama riskli olabilir.
  • Yüksek ayrıcalıklar veya yönetici onayı gerektiren uygulamaların riskli olma olasılığı daha yüksektir.
  1. Uygulamayı seçerek uygulama çekmecesini açın ve İlgili etkinlikler'in altındaki bağlantıyı seçin. Bu, uygulama tarafından gerçekleştirilen etkinlikler için filtrelenmiş Etkinlik günlüğü sayfasını açar. Bazı uygulamaların, bir kullanıcı tarafından gerçekleştirilen olarak kaydedilmiş etkinlikleri gerçekleştirdiğini unutmayın. Bu etkinlikler, Etkinlik günlüğündeki sonuçlardan otomatik olarak filtrelenir. Etkinlik günlüğünü kullanarak daha fazla araştırma yapmak için bkz . Etkinlik günlüğü.
  2. Çekmecede, etkinlik günlüğünde uygulamaya yönelik kullanıcı onaylarını araştırmak için Onay etkinlikleri'ni seçin.
  3. Bir uygulama şüpheli görünüyorsa, uygulamanın adını ve yayımcısını farklı uygulama mağazalarında araştırmanızı öneririz. Şüphe olabilecek aşağıdaki uygulamalara odaklanın:
    • Düşük sayıda indirmeye sahip uygulamalar.
    • Düşük derecelendirmeye veya puana veya kötü yorumlara sahip uygulamalar.
    • Şüpheli yayımcı veya web sitesine sahip uygulamalar.
    • Son güncelleştirmesi yeni olmayan uygulamalar. Bu, artık desteklenmeyen bir uygulamayı gösterebilir.
    • Ilgisiz izinlere sahip uygulamalar. Bu, bir uygulamanın riskli olduğunu gösterebilir.
  4. Uygulama hala şüpheliyse uygulama adını, yayımcıyı ve URL'yi çevrimiçi olarak araştırabilirsiniz.
  5. Bir uygulamaya yetki veren kullanıcıların daha fazla analizi için OAuth uygulama denetimini dışarı aktarabilirsiniz. Daha fazla bilgi için bkz . OAuth uygulama denetimi.

Şüpheli OAuth uygulamalarını düzeltme

OAuth uygulamasının riskli olduğunu belirledikten sonra Bulut için Defender Uygulamalar aşağıdaki düzeltme seçeneklerini sağlar:

  • El ile düzeltme: OAuth uygulamaları sayfasından bir uygulamayı iptal etme işlemini kolayca yasaklayabilirsiniz

  • Otomatik düzeltme: Bir uygulamayı otomatik olarak iptal eden veya bir uygulamadan belirli bir kullanıcıyı iptal eden bir ilke oluşturabilirsiniz.

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.