Aracılığıyla paylaş


Riskli OAuth uygulamalarını araştırma ve düzeltme

OAuth, belirteç tabanlı kimlik doğrulaması ve yetkilendirme için açık bir standarttır. OAuth, kullanıcının parolasını açığa çıkarmadan kullanıcının hesap bilgilerinin üçüncü taraf hizmetler tarafından kullanılmasını sağlar. OAuth, kullanıcı adına aracı görevi görür ve hizmete belirli hesap bilgilerinin paylaşılması için yetki veren bir erişim belirteci sağlar.

Örneğin, kullanıcının takvimini analiz eden ve daha üretken olma konusunda önerilerde bulunan bir uygulamanın kullanıcının takvimine erişmesi gerekir. OAuth, kullanıcının kimlik bilgilerini sağlamak yerine uygulamanın verilere yalnızca belirteç temelinde erişmesini sağlar. Bu, aşağıdaki resimde görüldüğü gibi kullanıcı bir sayfaya onay sağladığında oluşturulur.

OAuth uygulama izni.

Kuruluşunuzdaki iş kullanıcıları tarafından yüklenebilen birçok üçüncü taraf uygulaması, kullanıcı bilgilerine ve verilerine erişmek için izin isteyin ve diğer bulut uygulamalarında kullanıcı adına oturum açın. Kullanıcılar bu uygulamaları yüklediğinde, genellikle uygulamaya izin verme de dahil olmak üzere istemdeki ayrıntıları yakından gözden geçirmeden kabul et'e tıklarlar. Üçüncü taraf uygulama izinlerini kabul etmek kuruluşunuz için olası bir güvenlik riskidir.

Örneğin, aşağıdaki OAuth uygulama onayı sayfası ortalama kullanıcı için geçerli görünebilir, ancak "Google API Gezgini"nin Google'ın kendisinden izin istemesi gerekmez. Dolayısıyla bu, uygulamanın Google ile hiç ilgili değil bir kimlik avı girişimi olabileceğini gösterir.

OAuth kimlik avı google.

Güvenlik yöneticisi olarak ortamınızdaki uygulamalar üzerinde görünürlük ve denetime ihtiyacınız vardır ve bu da sahip oldukları izinleri içerir. İptal etmek istediğiniz kaynaklar için izin gerektiren uygulamaların kullanımını engelleme olanağına sahip olmanız gerekir. Bu nedenle, Microsoft Defender for Cloud Apps size kullanıcılarınızın verdiği uygulama izinlerini araştırma ve izleme olanağı sağlar. Bu makale, kuruluşunuzdaki OAuth uygulamalarını araştırmanıza ve şüpheli olma olasılığı daha yüksek uygulamalara odaklanmanıza yardımcı olmaya ayrılmıştır.

Önerilen yaklaşımımız, riskli olma olasılığı düşük olan uygulamaları filtrelemek ve şüpheli uygulamalara odaklanmak için Defender for Cloud Apps portalında sağlanan becerileri ve bilgileri kullanarak uygulamaları araştırmaktır.

Bu öğreticide şunları nasıl yapacağınızı öğreneceksiniz:

Not

Bu makalede, uygulama idaresi açık olmadığında kullanılan OAuth uygulamaları sayfasındaki örnekler ve ekran görüntüleri kullanılmaktadır.

Önizleme özelliklerini kullanıyorsanız ve uygulama idaresi açıksa, bunun yerine uygulama idaresi sayfasından aynı işlevsellik kullanılabilir.

Daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps'de uygulama idaresi.

Riskli OAuth uygulamalarını algılama

Riskli bir OAuth uygulamasını algılamak aşağıdakiler kullanılarak gerçekleştirilebilir:

  • Uyarılar: Mevcut bir ilke tarafından tetiklenen bir uyarıya React.
  • Avcılık: Risk şüphesi olmadan tüm kullanılabilir uygulamalar arasında riskli bir uygulama arayın.

Uyarıları kullanarak riskli uygulamaları algılama

Bir OAuth uygulaması belirli ölçütleri karşıladığında size otomatik olarak bildirim göndermek için ilkeler ayarlayabilirsiniz. Örneğin, yüksek izin gerektiren ve 50'den fazla kullanıcı tarafından yetkilendirilmiş bir uygulama algılandığında sizi otomatik olarak bilgilendirecek bir ilke ayarlayabilirsiniz. OAuth ilkeleri oluşturma hakkında daha fazla bilgi için bkz. OAuth uygulama ilkeleri.

Tehdit avcılığı yaparak riskli uygulamaları algılama

  1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında OAuth uygulamaları'na gidin. Ortamınızda neler olduğunu gözden geçirmek için filtreleri ve sorguları kullanın:

    • Filtreyi İzin düzeyi yüksek önem derecesi ve Topluluk kullanımı yaygın değil olarak ayarlayın. Bu filtreyi kullanarak, potansiyel olarak çok riskli olan ve kullanıcıların riski hafife almış olabileceği uygulamalara odaklanabilirsiniz.

    • İzinler'in altında, belirli bir bağlamda özellikle riskli olan tüm seçenekleri belirleyin. Örneğin, tüm posta kutularına tam erişim gibi e-posta erişimi izni sağlayan tüm filtreleri seçebilir ve sonra hepsinin postayla ilgili erişime gerçekten ihtiyaç duyduğundan emin olmak için uygulama listesini gözden geçirebilirsiniz. Bu, belirli bir bağlam içinde araştırmanıza ve meşru görünen ancak gereksiz izinler içeren uygulamaları bulmanıza yardımcı olabilir. Bu uygulamaların riskli olma olasılığı daha yüksektir.

      OAuth kimlik avı risklidir.

    • Dış kullanıcılar tarafından yetkilendirilen kayıtlı Sorgu Uygulamaları'nı seçin. Bu filtreyi kullanarak şirketinizin güvenlik standartlarıyla uyumlu olmayan uygulamalar bulabilirsiniz.

  2. Uygulamalarınızı gözden geçirdikten sonra, sorgulardaki geçerli görünen ancak aslında riskli olabilecek uygulamalara odaklanabilirsiniz. Filtreleri kullanarak bunları bulun:

    • Az sayıda kullanıcı tarafından yetkilendirilmiş uygulamalar için filtreleyin. Bu uygulamalara odaklanırsanız, güvenliği aşılmış bir kullanıcı tarafından yetkilendirilmiş riskli uygulamaları arayabilirsiniz.
    • Uygulamanın amacıyla eşleşmeyen izinlere sahip uygulamalar, örneğin tüm posta kutularına tam erişimi olan bir saat uygulaması.
  3. Uygulama çekmecesini açmak için her uygulamayı seçin ve uygulamanın şüpheli bir adı, yayımcısı veya web sitesi olup olmadığını denetleyin.

  4. Son yetkili'nin altında güncel olmayan bir tarihi olan uygulamaların ve hedef uygulamaların listesine bakın. Bu uygulamalar artık gerekli olmayabilir.

    OAuth uygulama çekmecesi.

Şüpheli OAuth uygulamalarını araştırma

Bir uygulamanın şüpheli olduğunu belirledikten ve araştırmak istediğinizde, verimli araştırma için aşağıdaki temel ilkeleri öneririz:

  • Bir uygulama, kuruluşunuz veya çevrimiçi ortamda ne kadar yaygın ve kullanılırsa güvenli olma olasılığı da o kadar yüksektir.
  • Bir uygulama yalnızca uygulamanın amacıyla ilgili izinler gerektirmelidir. Böyle bir durum söz konusu değilse, uygulama riskli olabilir.
  • Yüksek ayrıcalıklar veya yönetici onayı gerektiren uygulamaların riskli olma olasılığı daha yüksektir.
  1. Uygulama çekmecesini açmak için uygulamayı seçin ve İlgili etkinlikler'in altındaki bağlantıyı seçin. Bu, uygulama tarafından gerçekleştirilen etkinlikler için filtrelenmiş Etkinlik günlüğü sayfasını açar. Bazı uygulamaların, bir kullanıcı tarafından gerçekleştirilen olarak kaydedilmiş etkinlikleri gerçekleştirdiğini unutmayın. Bu etkinlikler, Etkinlik günlüğündeki sonuçlardan otomatik olarak filtrelenir. Etkinlik günlüğünü kullanarak daha fazla araştırma için bkz . Etkinlik günlüğü.
  2. Çekmecede, etkinlik günlüğünde uygulamaya yönelik kullanıcı onaylarını araştırmak için Onay etkinlikleri'ni seçin.
  3. Bir uygulama şüpheli görünüyorsa, uygulamanın adını ve yayımcısını farklı uygulama mağazalarında araştırmanızı öneririz. Şüphe olabilecek aşağıdaki uygulamalara odaklanın:
    • Düşük sayıda indirmeye sahip uygulamalar.
    • Düşük derecelendirmeye veya puana veya kötü yorumlara sahip uygulamalar.
    • Şüpheli bir yayımcıya veya web sitesine sahip uygulamalar.
    • Son güncelleştirmesi yeni olmayan uygulamalar. Bu, artık desteklenmeyen bir uygulamayı gösterebilir.
    • Ilgisiz izinlere sahip uygulamalar. Bu, bir uygulamanın riskli olduğunu gösterebilir.
  4. Uygulama hala şüpheliyse uygulama adını, yayımcıyı ve URL'yi çevrimiçi olarak araştırabilirsiniz.
  5. Bir uygulamayı yetkilendiren kullanıcıların daha fazla analizi için OAuth uygulama denetimini dışarı aktarabilirsiniz. Daha fazla bilgi için bkz . OAuth uygulama denetimi.

Şüpheli OAuth uygulamalarını düzeltme

OAuth uygulamasının riskli olduğunu belirledikten sonra Defender for Cloud Apps aşağıdaki düzeltme seçeneklerini sağlar:

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.