Aracılığıyla paylaş


İzin Verme İzinlerini Algılama ve Düzeltme

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Özet Microsoft 365'te yasadışı onay verme saldırısını tanımayı ve düzeltmeyi öğrenin.

Yasadışı bir onay verme saldırısında, saldırgan Microsoft Entra ID kişi bilgileri, e-posta veya belgeler gibi verilere erişim isteyen kayıtlı bir uygulama oluşturur. Saldırgan daha sonra bir kimlik avı saldırısı yoluyla veya güvenilir bir web sitesine yasadışı kod ekleyerek bu uygulamaya verilerine erişim izni vermesi için son kullanıcıyı kandırıyor. Yasadışı uygulamaya onay verildikten sonra, kuruluş hesabına gerek kalmadan verilere hesap düzeyinde erişime sahip olur. Normal düzeltme adımları (örneğin, parolaları sıfırlama veya çok faktörlü kimlik doğrulaması (MFA) gerektirme) bu tür saldırılara karşı etkili değildir çünkü bu uygulamalar kuruluş dışındadır.

Bu saldırılar, bilgileri çağıran varlığın insan değil otomasyon olduğunu varsayan bir etkileşim modeli kullanır.

Önemli

Şu anda bir uygulamadan gelen yasadışı onay vermelerle ilgili sorun yaşadığınızdan mı şüpheleniyorsunuz? Microsoft Defender for Cloud Apps, OAuth uygulamalarınızı algılamak, araştırmak ve düzeltmek için araçlar içerir. Bu Defender for Cloud Apps makale, riskli OAuth uygulamalarını araştırma hakkında bilgi veren bir öğreticiye sahiptir. Ayrıca, uygulama tarafından istenen izinleri araştırmak, bu uygulamaları hangi kullanıcıların yetkilendirdiği ve bu izin isteklerini geniş çapta onaylamak veya yasaklamak için OAuth uygulama ilkeleri ayarlayabilirsiniz.

Bu saldırının Risk Altındaki Göstergeler (IOC) olarak da adlandırılan işaretlerini bulmak için denetim günlüğünde arama yapmanız gerekir. Microsoft Entra ID ve büyük bir kullanıcı tabanında kayıtlı birçok uygulaması olan kuruluşlar için, kuruluşlarına her hafta onay vermelerini gözden geçirmeniz gerekir.

Bu saldırının işaretlerini bulma adımları

  1. konumundaki Microsoft Defender portalında Denetim'i https://security.microsoft.comseçin. Alternatif olarak, doğrudan Denetim sayfasına gitmek için https://security.microsoft.com/auditlogsearch seçeneğini kullanın.

  2. Denetim sayfasında Ara sekmesinin seçili olduğunu doğrulayın ve ardından aşağıdaki ayarları yapılandırın:

    • Tarih ve saat aralığı
    • Etkinlikler: Tüm etkinlikler için sonuçları göster seçeneğinin belirlendiğini doğrulayın.

    İşiniz bittiğinde Ara'yı seçin.

  3. Sonuçları sıralamak için Etkinlik sütununu seçin ve Uygulamaya onay ver'i arayın.

  4. Etkinliğin ayrıntılarını görmek için listeden bir girdi seçin. IsAdminConsent değerinin True olarak ayarlandığını denetleyin.

Not

Bir olay oluştuktan sonra ilgili denetim günlüğü girişinin arama sonuçlarında görüntülenmesi 30 dakikadan 24 saate kadar sürebilir.

Denetim kaydının saklanma süresi ve denetim günlüğünde aranabilir olması Microsoft 365 aboneliğinize bağlıdır. Özellikle, belirli kullanıcılara atanan lisanslar. Daha fazla bilgi için bkz. Denetim günlüğü.

True değeri, Genel Yönetici erişimi olan birinin verilere geniş erişim vermiş olabileceğini gösterir. Bu değer beklenmeyen bir durumsa , saldırıyı onaylamak için gereken adımları uygulayın.

Saldırıyı onaylama

Daha önce listelenen bir veya daha fazla GÇ örneğiniz varsa, saldırının gerçekleştiğini olumlu bir şekilde onaylamak için daha fazla araştırma yapmanız gerekir. Saldırıyı onaylamak için bu üç yöntemden herhangi birini kullanabilirsiniz:

  • Microsoft Entra yönetim merkezi kullanarak uygulamaların ve izinlerinin envanterini oluşturun. Bu yöntem kapsamlıdır, ancak aynı anda yalnızca bir kullanıcıyı de kontrol edebilirsiniz. Denetlemeniz gereken çok fazla kullanıcı varsa bu yöntem çok zaman alabilir.
  • PowerShell kullanarak uygulamaların ve izinlerinin envanterini oluşturun. Bu yöntem en hızlı, en fazla yöntemdir ve en az ek yüke sahiptir.
  • Kullanıcıların uygulamalarını ve izinlerini tek tek denetlemesini ve düzeltme için sonuçları yöneticilere geri bildirmesini sağlayın.

Kuruluşunuzda erişimi olan envanter uygulamaları

Kullanıcılarınız için uygulamaları envantere kaydetmek için aşağıdaki seçeneklere sahipsiniz:

  • Microsoft Entra yönetim merkezi.
  • PowerShell.
  • Kullanıcıların kendi uygulama erişimlerini ayrı ayrı listelemesini sağlayın.

Microsoft Entra yönetim merkezi kullanma adımları

Microsoft Entra yönetim merkezi kullanarak tek tek kullanıcıların izin verdiği uygulamaları arayabilirsiniz:

  1. konumunda Microsoft Entra yönetim merkezi https://entra.microsoft.comaçın ve ardından Kimlik>Kullanıcıları>Tüm kullanıcılar'a gidin. Veya doğrudan Kullanıcılar>Tüm kullanıcılar'a gitmek için kullanın https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Görünen ad değerine tıklayarak gözden geçirmek istediğiniz kullanıcıyı bulun ve seçin.
  3. Açılan kullanıcı ayrıntıları sayfasında Uygulamalar'ı seçin.

Bu adımlar, kullanıcıya atanan uygulamaları ve uygulamaların sahip olduğu izinleri gösterir.

Kullanıcılarınızın uygulama erişimlerini listelemesini sağlama adımları

Kullanıcılarınızın oraya gidip https://myapps.microsoft.com kendi uygulama erişimini gözden geçirmesini sağlayın. Erişimi olan tüm uygulamaları görebilmeli, bunlarla ilgili ayrıntıları görüntüleyebilmeli (erişim kapsamı dahil) ve şüpheli veya yasadışı uygulamaların ayrıcalıklarını iptal edebilmelidir.

PowerShell'deki adımlar

Yasadışı Onay Verme saldırısını doğrulamanın en basit yolu, kiracınızdaki tüm kullanıcılar için OAuth onaylarının ve OAuth uygulamalarının tek bir .csv dosyasına dökümünü alan Get-AzureADPSPermissions.ps1 betiğini çalıştırmaktır.

Önkoşullar

Önemli

Yönetici hesabınızda çok faktörlü kimlik doğrulaması gerektirmenizi kesinlikle öneririz . Bu betik MFA kimlik doğrulamayı destekler.

Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

  1. Betikleri yerel yönetici haklarıyla çalıştırmak istediğiniz bilgisayarda oturum açın.

  2. Get-AzureADPSPermissions.ps1 betiğini GitHub'dan kolayca bulunup anımsanabilecek bir klasöre indirin veya kopyalayın. Bu klasör ayrıca "permissions.csv" çıkış dosyasını yazmanız gereken yerdir.

  3. Yükseltilmiş bir PowerShell oturumunu betiği kaydettiğiniz klasörde yönetici olarak açın.

  4. Connect-MgGraph cmdlet'ini kullanarak dizininize bağlanın.

  5. Şu PowerShell komutunu çalıştırın:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Betik, Permissions.csv adlı bir dosya oluşturur. Yasadışı uygulama izni vermek için şu adımları izleyin:

  1. ConsentType sütununda (G sütunu) "AllPrinciples" değerini arayın. AllPrincipals izni, istemci uygulamasının kiracıdaki herkesin içeriğine erişmesini sağlar. Yerel Microsoft 365 uygulamalarının düzgün çalışması için bu izne sahip olması gerekir. Bu izne sahip Microsoft olmayan her uygulama dikkatle gözden geçirilmelidir.

  2. İzin sütununda (F sütunu), temsilci olarak atanan her uygulamanın içerik için sahip olduğu izinleri gözden geçirin. "Okuma" ve "Yazma" iznini veya "Tümü" iznini arayın ve uygun olmayabilecekleri için bu izinleri dikkatle gözden geçirin.

  3. İzin verilen belirli kullanıcıları gözden geçirin. Yüksek profilli veya yüksek değerli kullanıcıların uygun olmayan onayları varsa daha fazla araştırmanız gerekir.

  4. ClientDisplayName sütununda (C sütunu) şüpheli görünen uygulamaları arayın. Yanlış yazılmış adlar, süper kötü adlar veya bilgisayar korsanı gibi adlara sahip uygulamalar dikkatle gözden geçirilmelidir.

Saldırının kapsamını belirleme

Uygulama erişiminin envanterini çıkardıktan sonra, ihlalin tam kapsamını belirlemek için denetim günlüğünü gözden geçirin. Etkilenen kullanıcıları, yasadışı uygulamanın kuruluşunuza erişimi olan zaman çerçevelerini ve uygulamanın sahip olduğu izinleri arayın. Microsoft Defender portalındadenetim günlüğünde arama yapabilirsiniz.

Önemli

Bu bilgileri almak için, saldırıdan önce yöneticilerin ve kullanıcıların açık olması için Posta Kutusu denetimi ve Etkinlik denetimi gerekir.

Uygulamayı yasadışı izinlerle tanımladıktan sonra, bu erişimi kaldırmak için birkaç yolunuz vardır:

  • Aşağıdaki adımları uygulayarak uygulamanın iznini Microsoft Entra yönetim merkezi iptal edebilirsiniz:

    1. konumunda Microsoft Entra yönetim merkezi https://entra.microsoft.comaçın ve ardından Kimlik>Kullanıcıları>Tüm kullanıcılar'a gidin. Veya doğrudan Kullanıcılar>Tüm kullanıcılar'a gitmek için kullanın https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Görünen ad değerine tıklayarak etkilenen kullanıcıyı bulun ve seçin.
    3. Açılan kullanıcı ayrıntıları sayfasında Uygulamalar'ı seçin.
    4. Uygulamalar sayfasında, Ad değerine tıklayarak yasadışı uygulamayı seçin.
    5. Açılan Ödev ayrıntıları sayfasında Kaldır'ı seçin.
  • Remove-MgOauth2PermissionGrant içindeki adımları izleyerek PowerShell ile OAuth onay verme işlemini iptal edebilirsiniz

  • Remove-MgServicePrincipalAppRoleAssignment içindeki adımları izleyerek PowerShell ile Hizmet Uygulaması Rol Atamasını iptal edebilirsiniz.

  • Etkilenen hesap için oturum açmayı devre dışı bırakabilirsiniz ve bu da uygulama tarafından hesaptaki verilere erişimi devre dışı bırakır. Bu eylem kullanıcı üretkenliği için ideal değildir, ancak saldırının sonuçlarını hızla sınırlamak kısa vadeli bir düzeltme olabilir.

  • Kuruluşunuzdaki tümleşik uygulamaları kapatabilirsiniz. Bu eylem çok serttir. Kullanıcıların yanlışlıkla kötü amaçlı bir uygulamaya erişim vermelerini engellese de, tüm kullanıcıların herhangi bir uygulamaya onay vermelerini de engeller. Üçüncü taraf uygulamalarla kullanıcı üretkenliğini ciddi ölçüde olumsuz etkilediğinden bu eylemi önermeyiz. Tümleşik Uygulamaları Açma veya Kapatma'daki adımları izleyerek tümleşik uygulamaları kapatabilirsiniz.

Ayrıca bkz.