Aracılığıyla paylaş

Uygulama onayı verme araştırması

  • Makale

Bu makale, uygulama onayı saldırılarını tanımlama ve araştırma, bilgileri koruma ve diğer riskleri en aza indirme konusunda rehberlik sağlar.

Bu makale aşağıdaki bölümleri içerir:

  • Önkoşullar: Araştırmaya başlamadan önce tamamlamanız gereken belirli gereksinimleri kapsar. Örneğin, açık olması gereken günlüğe kaydetme, diğer roller ve izinler de gereklidir.
  • İş Akışı: Bu araştırmayı gerçekleştirmek için izlemeniz gereken mantıksal akışı gösterir.
  • Denetim Listesi: Akış grafiğindeki adımların her biri için bir görev listesi içerir. Bu denetim listesi, atılan adımları doğrulamak veya yalnızca kendiniz için bir kalite kapısı olarak yüksek düzeyde düzenlenmiş ortamlarda yararlı olabilir.
  • Araştırma adımları: Bu araştırma için ayrıntılı bir adım adım kılavuz içerir.
  • Kurtarma: Yasadışı Uygulama Onayı verme saldırısını kurtarma/azaltma konusunda üst düzey adımlar içerir.
  • Başvurular: Daha fazla okuma ve başvuru malzemesi içerir.

Önkoşullar

Uygulama Onayı Vermeleri için bir araştırma gerçekleştirirken tamamlamanız gereken genel ayarlar ve yapılandırmalar aşağıdadır. Araştırmaya başlamadan önce Onay izin türleri bölümünde açıklanan izin türleri hakkında bilgi edinmeye özen gösterin.

Müşteri verileri

Araştırma işlemini başlatmak için aşağıdaki verilere ihtiyacınız vardır:

  • Güvenliğin aşılmasına ilişkin göstergelerin ayrıntıları (ICS)
  • Olayı fark ettiğiniz tarih ve saat
  • Tarih aralığı
  • Güvenliği aşılmış hesap sayısı
  • Güvenliği aşılmış hesapların adı
  • Güvenliği aşılmış hesabın rolleri
  • Hesaplar yüksek ayrıcalıklı mı (GA Microsoft Exchange, SharePoint)?
  • Olayla ilgili kurumsal uygulamalar var mı?
  • Kullanıcılar, kendi adlarına verilere izin isteyen uygulamaları rapor etti mi?

Sistem gereksinimleri

Aşağıdaki yüklemeleri ve yapılandırma gereksinimlerini tamamladığınızdan emin olun:

  • AzureAD PowerShell modülü yüklenir.
  • Betiğin çalıştığı kiracıda Genel Yönetici haklarına sahipsiniz.
  • Betikleri çalıştırmak için kullandığınız bilgisayarda size yerel yönetici rolü atanır.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

AzureAD modülünü yükleme

AzureAD modülünü yüklemek için bu komutu kullanın.

Install-Module -Name AzureAD -Verbose

Not

Modülleri güvenilmeyen bir depodan yüklemeniz istenirse, Y yazın ve Enter tuşuna basın.

MSOnline PowerShell modülünü yükleme

  1. Windows PowerShell uygulamasını yükseltilmiş ayrıcalıklarla çalıştırın (yönetici olarak çalıştırın).

  2. PowerShell'in imzalı betikleri çalıştırmasına izin vermek için bu komutu çalıştırın.

    Set-ExecutionPolicy RemoteSigned

  3. Bu komutla MSOnline modülünü yükleyin.

    Install-Module -Name MSOnline -Verbose

    Not

    Modülleri güvenilmeyen bir depodan yüklemeniz istenirse, Y yazın ve Enter tuşuna basın.

GitHub'dan AzureADPSPermissions Betiğini indirin

  1. GitHub'dan Get-AzureADPSPermissions.ps1 betiğini betiği çalıştırdığınız klasöre indirin. "permissions.csv" çıkış dosyası da bu klasöre yazılır.

  2. Yönetici olarak bir PowerShell örneği açın ve betiği kaydettiğiniz klasörü açın.

  3. cmdlet'ini kullanarak dizininize bağlanın Connect-AzureAD . Aşağıda bir örnek verilmiştir.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"

  4. Bu PowerShell komutunu çalıştırın.

    Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation

    Bu komutla AzureAD oturumunuzun bağlantısını kesin.

    Disconnect-AzureAD

Onay, kullanıcılar adına korumalı kaynaklara erişmek için uygulamaya yetkilendirme verme işlemidir. Bir yöneticiden veya kullanıcıdan kuruluş verilerine/tek tek verilere erişim izni vermek için onay istenebilir.

Uygulamaya belirli bir kullanıcıya veya kuruluşun tamamına göre verilere erişim izni verilir. Saldırganlar, ortamda kalıcılık elde etmek ve hassas verilere erişmek için bu onayları kötüye kullanabilir. Bu tür saldırılar, kimlik avı e-postası, parola spreyi aracılığıyla kullanıcı hesabının gizliliğinin tehlikeye atılması veya bir saldırganın uygulamayı meşru bir kullanıcı olarak kaydetmesi yoluyla gerçekleşebilen Yasadışı Onay Vermeleri olarak adlandırılır. Yönetici hesabının gizliliğinin ihlal edildiği senaryolarda kayıt ve onay verme yalnızca bir kullanıcı için değil kiracı genelindedir.

Uygulamanın kuruluşunuzun verilerine erişebilmesi için önce bir kullanıcının bunu yapmaya yönelik uygulama izinleri vermesi gerekir. Farklı izinler farklı erişim düzeylerine olanak tanır. Varsayılan olarak tüm kullanıcıların uygulamalara yönetici onayı gerektirmeyen izinler için onay vermesine izin verilir. Örneğin, varsayılan olarak bir kullanıcı bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin veremez.

Not

Kullanıcıların uygulamalara verilere erişim izni vermesine izin vererek, kullanıcılar kolayca yararlı uygulamalar edinebilir ve üretken olabilir. Ancak bazı durumlarda, bu yapılandırma dikkatle izlenmediği ve denetlenmediği durumlarda bir riski temsil edebilir.

Kiracı genelinde yönetici onayı verebilmek için aşağıdaki rollerden en az biriyle oturum açmanız gerekir:

  • Uygulama Yöneticisi
  • Bulut Uygulaması Yöneticisi
  • Yönetici - Yönetici tarafından onay verildiğini gösterir (kuruluş adına)
  • Bireysel kullanıcı - Kullanıcı tarafından onay verildiğini ve yalnızca bu kullanıcının bilgilerine erişimi olduğunu gösterir
  • Kabul edilen değerler
    • AllPrincipals - Kiracının tamamı için yönetici tarafından onaylandı
    • Sorumlu – Tek tek kullanıcı tarafından yalnızca bu hesapla ilgili veriler için onaylanmıştır

Onay vermenin gerçek kullanıcı deneyimi, kullanıcının kiracısı üzerinde ayarlanan ilkelere, kullanıcının yetki kapsamına (veya rolüne) ve istemci uygulaması tarafından istenen izinlerin türüne bağlı olarak farklılık gösterir. Bu, uygulama geliştiricilerinin ve kiracı yöneticilerinin onay deneyimi üzerinde biraz denetimi olduğu anlamına gelir. Yöneticiler, kiracılarındaki onay deneyimini denetlemek için bir kiracıda veya uygulamada ilke ayarlama ve devre dışı bırakma esnekliğine sahiptir. Uygulama geliştiricileri, hangi tür izinlerin istendiğini ve kullanıcılara kullanıcı onay akışı veya yönetici onayı akışında yol göstermek isteyip istemediklerini dikte edebilir.

  • Kullanıcı onayı akışı - Bir uygulama geliştiricisi yalnızca geçerli kullanıcı için onay kaydetme amacıyla kullanıcıları yetkilendirme uç noktasına yönlendirdiğinde.

  • Yönetici onayı akışı - Bir uygulama geliştiricisi, kiracının tamamı için onay kaydetme amacıyla kullanıcıları yönetici onay uç noktasına yönlendirdiğinde. Yönetici onayı akışının düzgün çalıştığından emin olmak için uygulama geliştiricilerinin uygulama bildirimindeki RequiredResourceAccess özelliğindeki tüm izinleri listelemesi gerekir.

Temsilci izinleri ile uygulama izinleri karşılaştırması

Temsilci izinleri, oturum açmış bir kullanıcı bulunan uygulamalar tarafından kullanılır ve yönetici veya kullanıcı tarafından uygulanan onaylara sahip olabilir.

Uygulama izinleri oturum açmış bir kullanıcı olmadan çalışan uygulamalar tarafından kullanılır. Örneğin, arka plan hizmetleri veya daemon olarak çalışan uygulamalar bu izinleri kullanır. Uygulama izinleri yalnızca bir yönetici tarafından onaylanabilir.

Daha fazla bilgi için bkz.

Riskli izinleri sınıflandırma

Sistemde binlerce (en az) izin vardır ve bunların tümünü listelemek veya ayrıştırmak mümkün değildir. Aşağıdaki listede yaygın olarak kötüye kullanılan izinler ve kötüye kullanıldığında yıkıcı etki yaratabilecek diğer izinler ele alınıyor.

Microsoft, onay kimlik avı saldırılarında aşağıdaki "kök" temsilci (App+User) izinlerinin kötüye kullanıldığını üst düzeyde gözlemlemiştir. Kök en üst düzeye eşittir. Örneğin, Kişiler.*, Kişiler izinlerinin tüm temsilci permütasyonlarını dahil etmek anlamına gelir: Kişiler.Okuma, Kişiler.OkumaWrite, Kişiler.Okuma.Paylaşılan ve Kişiler.ReadWrite.Shared.

  1. Mail.* (Mail.Send* dahil, ancak Mail.ReadBasic* dahil)
  2. Kişiler. *
  3. MailboxSettings.*
  4. Halk.*
  5. Dosyaları.*
  6. Notlar.*
  7. Directory.AccessAsUser.All
  8. User_Impersonation

Önceki listedeki ilk yedi izin Microsoft Graph ve Azure Active Directory (Azure AD) Graph ve Outlook REST gibi "eski" API eşdeğerleri içindir. Sekizinci izin Azure Resource Manager (ARM) içindir ve bu paket kimliğe bürünme kapsamıyla hassas verileri kullanıma sunan herhangi bir API'de de tehlikeli olabilir.

Microsoft Olay Yanıtı ekibinin gözlemlerine göre saldırganlar, onay kimlik avı saldırılarının %99'unda ilk altı iznin bir bileşimini kullanır. Çoğu kişi Mail.Read veya Files.Read'un temsilci olarak atanan sürümünü yüksek riskli bir izin olarak düşünmez, ancak saldırılar genellikle tehlikeli izinlere onay verebilen yöneticilere karşı kimlik avı yapmak yerine yaygın ve hedef son kullanıcılardır. Bu "kritik" etki izinleri düzeyine sahip uygulamaların kabarcığı önerilir. Uygulamaların kötü amaçlı bir amacı olmasa ve kötü bir aktör uygulama kimliğini tehlikeye atsa bile kuruluşunuzun tamamı risk altında olabilir.

En yüksek risk etkisi izinleri için buradan başlayın:

  • Yukarıdaki tüm izinlerin uygulama izni (AppOnly/AppRole) sürümleri (uygun olduğunda)

Aşağıdaki izinlerin Temsilci ve AppOnly sürümleri:

  • Application.ReadWrite.All
  • Directory.ReadWrite.All
  • Domain.ReadWrite.All*
  • EduRoster.ReadWrite.All*
  • Group.ReadWrite.All
  • Member.Read.Hidden*
  • RoleManagement.ReadWrite.Directory
  • User.ReadWrite.All*
  • User.ManageCreds.All
  • Yazma erişimine izin veren diğer tüm AppOnly izinleri

En düşük risk etkisi izinleri listesi için buradan başlayın:

  • User.Read
  • User.ReadBasic.All
  • Open_id
  • E-posta
  • Profil
  • Offline_access (yalnızca bu "en düşük risk" listesindeki diğer izinlerle eşleştirilmişse)

İzinleri görüntüleme

  1. İzinleri görüntülemek için kurumsal uygulamada Kayıt ekranına gidin.

    Farklı izinleri görüntüleme ekran görüntüsü.

  2. API izinlerini görüntüle'yi seçin.

    API izinlerinin nasıl görüntüleneceğini ve ekleneceğini gösteren ekran görüntüsü.

  3. İzin ekle'yi seçtiğinizde aşağıdaki ekran görüntülenir.

    API izinleri istemenin ekran görüntüsü.

  4. Farklı izin türlerini görüntülemek için Microsoft Graph'ı seçin.

    Farklı API izin türlerinin ekran görüntüsü.

  5. Kayıtlı uygulamanın kullandığı izin türünü seçin: Temsilci izinleri veya Uygulama izinleri. Yukarıdaki görüntüde Uygulama izinleri seçilidir.

  6. EduRoster gibi yüksek riskli etki izinlerinden birini arayabilirsiniz.

    Örnek BIR API izin isteğinin ekran görüntüsü.

  7. EduRoster'ı seçin ve izinleri genişletin.

    Araç ipucu içeren bir API izin öğesinin ekran görüntüsü.

  8. Artık bu izinleri atayabilir veya gözden geçirebilirsiniz.

    Daha fazla bilgi için Graf İzinleri.

İş Akışı

[Uygulama onayı verme araştırma iş akışının akış çizelgesi.]

Aşağıdakileri de yapabilirsiniz:

  • Uygulama onayı verme ve diğer olay yanıtı playbook iş akışlarını PDF olarak indirin.
  • Uygulama onayı verme ve diğer olay yanıtı playbook iş akışlarını Visio dosyası olarak indirin.

Denetim listesi

Uygulama onayı verme doğrulamasını gerçekleştirmek için bu denetim listesini kullanın.

  • Güvenliğin aşılmasına ilişkin göstergeler (IoC)

    Aşağıdaki güvenlik ihlal göstergelerini (IoC) denetleyin:

    • Olayı ne zaman fark ettiniz?
    • Olayın tarih aralığı (hedef gönderi ne kadar kaldı?)
    • Güvenliği aşılmış hesap sayısı
    • Güvenliği aşılmış hesapların adları
    • Güvenliği aşılmış hesapların rolleri
    • Güvenliği aşılmış hesaplar yüksek oranda ayrıcalıklı mı, standart bir kullanıcı mı yoksa bir birleşim mi?

  • Roller

    Şu rollerle atanmalısınız:

    • Betiği çalıştırdığınız bilgisayarda Yerel Yönetici rolü

  • PowerShell yapılandırma

    PowerShell ortamınızı şu adımlarla yapılandırın:

    1. Azure AD PowerShell modülünü yükleyin.
    2. Windows PowerShell uygulamasını yükseltilmiş ayrıcalıklarla çalıştırın. (Yönetici olarak çalıştır).
    3. PowerShell'i imzalı betikleri çalıştıracak şekilde yapılandırın.
    4. Get-AzureADPSPermissions.ps1 betiğini indirin.

  • Araştırma tetikleyicileri

    • Hesap güvenliğinin aşılmasına neden olan
    • Kiracıda değiştirilen Uygulama Onayı ayarları
    • Uyarı/denetim olayı durum nedeni "riskli uygulama" algılandı
    • Tek görünümlü uygulamalar fark ettim

Ayrıca uygulama onayı verme ve diğer olay playbook denetim listelerini excel dosyası olarak da indirebilirsiniz.

İnceleme adımları

Uygulama onayı vermelerini araştırmak için aşağıdaki iki yöntemi kullanabilirsiniz:

  • Azure portal
  • PowerShell betiği

Not

Azure portalını kullanmak yalnızca son 90 gün için Yönetici Onayı Vermelerini görmenize olanak tanır ve buna bağlı olarak, PowerShell betik yöntemini yalnızca saldırganın araştırma adımlarını kaydetmesini azaltmak için kullanmanızı öneririz.

Yöntem 1 – Azure portalını kullanma

Tek tek kullanıcıların izin verdiği uygulamaları bulmak için Microsoft Entra yönetim merkezini kullanabilirsiniz.

  1. Azure portalında yönetici olarak oturum açın.
  2. Microsoft Entra Id simgesini seçin.
  3. Kullanıcılar’ı seçin.
  4. Gözden geçirmek istediğiniz kullanıcıyı seçin.
  5. Başvurular'ı seçin.
  6. Kullanıcıya atanan uygulamaların listesini ve bu uygulamaların sahip olduğu izinleri görebilirsiniz.

Yöntem 2 - PowerShell kullanma

Yasadışı onay vermelerini araştırmak için kullanabileceğiniz çeşitli PowerShell araçları vardır, örneğin:

PowerShell en kolay araçtır ve kiracıdaki herhangi bir şeyi değiştirmenizi gerektirmez. Araştırmamızı Yasadışı Onay Verme saldırısının genel belgelerine dayandıracağız.

kiracınızdaki tüm kullanıcılara verilen OAuth onaylarının ve OAuth uygulamalarının tümünü bir .csv dosyasına aktarmak için komutunu çalıştırınGet-AzureADPSPermissions.ps1. Betiği indirip çalıştırmak Get-AzureADPSPermissions için Önkoşullar bölümüne bakın.

  1. Yönetici olarak bir PowerShell örneği açın ve betiği kaydettiğiniz klasörü açın.

  2. Aşağıdaki Connect-AzureAD komutunu kullanarak dizininize bağlanın. Aşağıda bir örnek verilmiştir.

    Connect-AzureAD -tenantid "2b1a14ac-2956-442f-9577-1234567890ab" -AccountId "user1@contoso.onmicrosoft.com"

  3. Bu PowerShell komutunu çalıştırın.

    Get-AzureADPSPermissions.ps1 | Export-csv c:\temp\consentgrants\Permissions.csv -NoTypeInformation

  4. Betik tamamlandıktan sonra bu komutla Microsoft Entra oturumunun bağlantısını kesmenizi öneririz.

     Disconnect-AzureAD

    Not

    Betiğin tamamlanması, bağlantınızın yanı sıra yapılandırılan boyuta ve izinlere bağlı olarak saatler sürebilir.

  5. Betik, Permissions.csv adlı bir dosya oluşturur.

  6. Dosyayı açın, ardından verileri bir tabloya filtreleyin veya biçimlendirin ve dosya olarak .xlxs kaydedin.

    Çıktının sütun başlıkları bu görüntüde gösterilir.

    Excel sütun başlıklarının ekran görüntüsü.

  7. ConsentType sütununda (G), AllPrinciples değerini arayın. AllPrincipals izni, istemci uygulamasının kiracıdaki herkesin içeriğine erişmesine olanak tanır. Yerel Microsoft 365 uygulamalarının düzgün çalışması için bu izne sahip olması gerekir. Bu izne sahip Microsoft dışı her uygulama dikkatle gözden geçirilmelidir.

  8. İzin sütununda (F) her temsilci uygulamanın sahip olduğu izinleri gözden geçirin. Okuma ve Yazma iznine veya * bakın. Tüm izinler ve uygun olmayabilecekleri için bu izinleri dikkatle gözden geçirin. F sütunundaki uygulama izinlerinin ekran görüntüsü.

    Not

    İzin verilen belirli kullanıcıları gözden geçirin. Yüksek profilli veya yüksek etkili kullanıcıların uygun olmayan onayları varsa, daha fazla araştırma yapmanız gerekir.

  9. ClientDisplayName sütununda (C) şüpheli görünen uygulamaları arayın, örneğin:

    • Yanlış yazılmış adlara sahip uygulamalar Yanlış yazılmış ad örneği ekran görüntüsü.

    • Olağan dışı veya kara adlar Sıra dışı bir ad örneği ekran görüntüsü.

    • Bilgisayar korsanı isimleri. Bu adları dikkatle gözden geçirmelisiniz. Bilgisayar korsanı adı örneği ekran görüntüsü.

Örnek Çıktı: AllPrincipals ve read write all. Uygulamalarda kara adlar gibi şüpheli bir şey olmayabilir ve MS grafı kullanılıyor olabilir. Ancak, bu örnekte gösterildiği gibi araştırma yapın ve uygulamaların amacını ve uygulamaların kiracıda sahip olduğu gerçek izinleri belirleyin.

AllPrincipals ConsentType ile uygulama örneği ekran görüntüsü.

Bilgi güvenliği ilkesi (ISS) araştırmalarını gözden geçirmek için bazı yararlı ipuçları şunlardır:

  • ReplyURL/RedirectURL
    • Şüpheli URL'leri arayın
  • URL şüpheli bir etki alanında mı barındırılıyor?
    • Gizliliği tehlikeye mi girdi?
    • Etki alanı yakın zamanda kaydedildi mi?
    • Geçici bir etki alanı mı?
  • Uygulama kaydında hizmet koşulları/hizmet sözleşmesi bağlantısı var mı?
  • İçerikler benzersiz ve uygulamaya/yayımcıya özgü mü?
  • Uygulamayı kaydeden kiracı yeni mi oluşturuldu yoksa güvenliği aşıldı mı (örneğin, uygulama risk altındaki bir kullanıcı tarafından kaydedildi mi)?

Saldırı teknikleri

Her saldırı değişkenlik gösterse de temel saldırı teknikleri şunlardır:

  • Saldırgan bir uygulamayı Microsoft Entra Id gibi bir OAuth 2.0 sağlayıcısına kaydeder.

  • Uygulamalar, yasal görünmelerini sağlayacak şekilde yapılandırılır. Örneğin, saldırganlar aynı ekosistemde bulunan popüler bir ürünün adını kullanabilir.

  • Saldırgan doğrudan kullanıcılardan bir bağlantı alır. Bu bağlantı, geleneksel e-posta tabanlı kimlik avı yoluyla, kötü amaçlı olmayan bir web sitesinin güvenliğini tehlikeye atarak veya diğer tekniklerle yapılabilir.

  • Kullanıcı bağlantıyı seçer ve verilere kötü amaçlı uygulama izinleri vermesini isteyen bir orijinal onay istemi gösterilir.

  • Bir kullanıcı 'Kabul Et'i seçerse, uygulamaya hassas verilere erişim izinleri verir.

  • Uygulama, erişim belirteci ve potansiyel olarak yenileme belirteci için kullanılan bir yetkilendirme kodu alır.

  • Erişim belirteci, kullanıcı adına API çağrıları yapmak için kullanılır.

  • Kullanıcı kabul ederse, saldırgan kullanıcının postalarına, iletme kurallarına, dosyalarına, kişilerine, notlarına, profiline ve diğer hassas veri ve kaynaklarına erişebilir.

    İzin isteği örneği ekran görüntüsü.

Saldırının işaretlerini bulma

  1. konumundaki Microsoft 365 Defender portalında https://security.microsoft.comDenetim'e gidin. Veya doğrudan Denetim sayfasına gitmek için kullanınhttps://security.microsoft.com/auditlogsearch.

  2. Denetim sayfasında, tüm etkinliklerde ve tüm kullanıcılarda arama yapın, gerekirse başlangıç tarihini ve bitiş tarihini girin ve ara'yı seçin.

    Denetim günlüğü araması örneği ekran görüntüsü.

  3. Sonuçları filtrele'yi seçin ve Etkinlik alanına Uygulamaya onay girin.

    Denetim günlüğü aramasını filtreleme örneği ekran görüntüsü.

  4. İzin verme izni altında etkinliğiniz varsa sonraki adıma geçin.

  5. Etkinliğin ayrıntılarını görmek için sonucu seçin. Etkinliğin ayrıntılarını almak için Daha Fazla Bilgi'yi seçin.

  6. IsAdminContent'in 'True' olarak ayarlanıp ayarlanmadığını denetleyin.

    Not

    Bu işlemin, bir olay gerçekleştikten sonra ilgili denetim günlüğü girişinin arama sonuçlarında görüntülenmesi 30 dakika ile 24 saat kadar sürebilir.

    Denetim kaydının tutulup denetim günlüğünde aranabilir olması, Microsoft 365 aboneliğinize ve özellikle belirli bir kullanıcıya atanan lisansın türüne bağlıdır. Bu değer doğruysa, birinin verilere geniş erişim vermiş olabileceğini gösterir. Bu beklenmeyen bir durumsa, bir saldırıyı onaylamak için hemen adımlar atın.

Bir saldırı nasıl onaylanır?

Daha önce listelenen ioC'lerin bir veya daha fazla örneği varsa, saldırının gerçekleştiğini olumlu bir şekilde onaylamak için daha fazla araştırma yapmanız gerekir.

Kuruluşunuzda erişimi olan uygulamaların envanterini oluşturma

Microsoft Entra yönetim merkezini, PowerShell'i kullanarak kullanıcılarınız için uygulamaların envanterini oluşturabilir veya kullanıcılarınızın uygulama erişimini tek tek listelemesini sağlayabilirsiniz.

  • Uygulamaların ve izinlerinin envanterini almak için Microsoft Entra yönetim merkezini kullanın. Bu yöntem kapsamlıdır, ancak aynı anda yalnızca bir kullanıcıyı denetleyebilirsiniz, bu da birkaç kullanıcının izinlerini denetlemeniz gerekirse zaman alabilir.
  • PowerShell'i kullanarak uygulamaların ve izinlerinin envanterini oluşturun. Bu yöntem en hızlı ve en kapsamlıdır ve en az ek yüke sahiptir.
  • Kullanıcılarınızı uygulamalarını ve izinlerini ayrı ayrı denetlemeye ve düzeltme için sonuçları yöneticilere geri bildirmeye teşvik edin.

Kullanıcılara atanan envanter uygulamaları

Tek tek kullanıcıların izin verdiği uygulamaların listesini görmek için Microsoft Entra yönetim merkezini kullanabilirsiniz.

  1. Yönetici haklarıyla Azure Portal'da oturum açın.
  2. Microsoft Entra Id simgesini seçin.
  3. Kullanıcılar’ı seçin.
  4. Gözden geçirmek istediğiniz kullanıcıyı seçin.
  5. Başvurular'ı seçin.

Kullanıcıya atanan uygulamaların listesini ve bu uygulamalara verilen izinleri görebilirsiniz.

Saldırının kapsamını belirleme

Uygulama erişiminin envanterini tamamladıktan sonra, ihlalin tam kapsamını belirlemek için denetim günlüğünü gözden geçirin. Etkilenen kullanıcıları, yasadışı uygulamanın kuruluşunuza erişimi olan zaman çerçevelerini ve uygulamanın sahip olduğu izinleri arayın. Microsoft 365 Güvenlik ve Microsoft Purview uyumluluk portalı'lerinde denetim günlüğünde arama yapabilirsiniz.

Önemli

Olası saldırıdan önce denetim etkinleştirilmediyse, denetim verileri kullanılamadığından araştırma yapamazsınız.

Saldırıları önleme ve riskleri azaltma

Kuruluşunuzun uygun lisansı varsa:

Yasadışı izinlere sahip bir uygulamayı belirledikten sonra, Uygulamayı devre dışı bırakma başlığındaki yönergeleri izleyerek uygulamayı hemen devre dışı bırakın. Ardından, kötü amaçlı uygulamayı raporlamak için Microsoft Desteği ile iletişime geçin.

Microsoft Entra'da bir uygulama devre dışı bırakıldıktan sonra verilere erişmek için yeni belirteçler edinemez ve diğer kullanıcılar uygulamada oturum açamaz veya uygulama için onay veremez.

Not

Kuruluşunuzda kötü amaçlı bir uygulamayla karşılaştığınızdan şüpheleniyorsanız, bunu devre dışı bırakmak, silmekten daha iyidir. Uygulamayı yalnızca silerseniz, başka bir kullanıcı onay verirse daha sonra geri dönebilir. Bunun yerine, daha sonra geri gelememesini sağlamak için uygulamayı devre dışı bırakın.

Kuruluşunuzu koruma adımları

Çeşitli onay saldırısı türleri vardır ve bu önerilen savunmalar, saldırganların hassas verilere veya diğer kaynaklara kötü amaçlı bir uygulama erişimi vermeleri için kullanıcıları kandırdığı onay kimlik avı başta olmak üzere tüm saldırı türlerini azaltır. Bir saldırgan, kullanıcının parolasını çalmaya çalışmak yerine, saldırgan denetimindeki bir uygulamanın değerli verilere erişmesi için izin istiyor.

Onay saldırılarının Microsoft Entra Id ve Office 365'i etkilemesini önlemeye yardımcı olmak için aşağıdaki önerilere bakın:

İlkeleri ayarlama

  • Bu ayarın kullanıcı etkileri vardır ve bir ortam için geçerli olmayabilir. Herhangi bir onaya izin verecekseniz, yöneticilerin istekleri onayladığınızdan emin olun.

  • Yalnızca doğrulanmış yayımcılardan gelen uygulamalar için izinlere ve düşük etki olarak sınıflandırılan belirli izin türlerine izin verin.

    Not

    Yukarıdaki öneriler en ideal ve güvenli yapılandırmalara göre önerilir. Ancak, güvenlik işlevler ve işlemler arasında ince bir denge olduğundan, en güvenli yapılandırmalar yöneticiler için daha fazla ek yüke neden olabilir. Bu, yöneticilerinize danışıldıktan sonra en iyi şekilde karara varılan bir karardır.

    Risk tabanlı adım adım onayı yapılandırma - Kullanıcı onay verme etkinleştirildiyse varsayılan olarak etkinleştirilir

  • Risk tabanlı adım adım onay, kullanıcının yasadışı onay isteklerinde bulunan kötü amaçlı uygulamalara maruz kalmasını azaltmaya yardımcı olur. Microsoft riskli bir son kullanıcı onayı isteği algılarsa, istek bunun yerine yönetici onayı için bir "adım adım" gerektirir. Bu özellik varsayılan olarak etkindir, ancak yalnızca son kullanıcı onayı etkinleştirildiğinde bir davranış değişikliğine neden olur.

  • Riskli bir onay isteği algılandığında, onay istemi yönetici onayı gerektiğini belirten bir ileti görüntüler. Yönetici onayı isteği iş akışı etkinse, kullanıcı isteği doğrudan onay isteminden daha fazla gözden geçirmek üzere yöneticiye gönderebilir. Etkinleştirilirse aşağıdaki ileti görüntülenir:

    AADSTS90094: <clientAppDisplayName'in> kuruluşunuzdaki kaynaklara erişmek için yalnızca bir yöneticinin izin verebileceği izinlere sahip olması gerekir. Kullanmadan önce lütfen bir yöneticiden bu uygulamaya izin vermesini isteyin. Bu durumda, bir denetim olayı da "ApplicationManagement" Etkinlik Türü kategorisi olan "Uygulamaya onay" ve "Riskli uygulama algılandı" Durum Nedeni ile günlüğe kaydedilir.

Not

Yönetici onayı gerektiren tüm görevlerin işlem yükü vardır. "Onay ve izinler, Kullanıcı onayı ayarları" şu anda Önizleme aşamasındadır. Genel kullanılabilirlik (GA) için hazır olduktan sonra "Seçili izinler için doğrulanmış yayımcıların kullanıcı onayına izin ver" özelliği yöneticilerin ek yükünü azaltmalıdır ve çoğu kuruluş için önerilir.

Onay izinlerinin ekran görüntüsü örneği.

Uygulama geliştiricilerinizi güvenilir uygulama ekosistemini izlemeleri için eğitin. Geliştiricilerin yüksek kaliteli ve güvenli tümleştirmeler oluşturmasına yardımcı olmak için Microsoft Entra uygulama kayıtlarında Integration Assistant'ın genel önizlemesini de duyuruyoruz.

  • Integration Assistant, uygulama kaydınızı analiz eder ve bir dizi önerilen güvenlik en iyi uygulamasıyla karşılaştırılır.
  • Integration Assistant, geliştirme aşamasından izlemeye kadar tümleştirme yaşam döngünüzün her aşamasında uygun olan en iyi yöntemleri vurgular ve her aşamanın düzgün yapılandırıldığından emin olur.
  • İlk uygulamanızı tümleştirirken veya becerilerinizi geliştirmek isteyen bir uzman olduğunuzda işinizi kolaylaştırır.

Kuruluşunuzu onay taktikleri (kimlik avı taktikleri, yönetici ve kullanıcı onayları) konusunda eğitin :

  • Kötü yazım ve dil bilgisi olup olmadığını denetleyin. Bir e-posta iletisinde veya uygulamanın onay ekranında yazım ve dil bilgisi hataları varsa, bu şüpheli bir uygulama olabilir.
  • Uygulama adlarına ve etki alanı URL'lerine dikkat edin. Saldırganlar, geçerli uygulamalardan veya şirketlerden geliyor gibi görünen ancak kötü amaçlı bir uygulamaya onay vermenizi sağlayan uygulama adlarını sahtekarlık yapmayı sever.
  • Bir uygulamaya onay vermeden önce uygulama adını ve etki alanı URL'sini tanıydığınızdan emin olun.

Güvendiğiniz uygulamaları yükseltme ve erişime izin verme

  • Yayımcı tarafından doğrulanmış uygulamaların kullanımını teşvik edin. Yayımcı doğrulaması, yöneticilerin ve son kullanıcıların uygulama geliştiricilerinin orijinalliğini anlamasına yardımcı olur. Şimdiye kadar 390 yayımcı tarafından 660'ın üzerinde uygulama doğrulanmıştır.
  • Kullanıcıların yalnızca kuruluşunuz tarafından geliştirilen uygulamalar veya doğrulanmış yayımcılar gibi güvendiğiniz belirli uygulamalara onay vermesine izin vererek uygulama onayı ilkelerini yapılandırın.
  • İzinlerimizin ve onay çerçevemizin nasıl çalıştığı konusunda kuruluşunuzu eğitin.
  • Bir uygulamanın istediği verileri ve izinleri anlayın ve izinlerle onayın platformumuzda nasıl çalıştığını anlayın.
  • Yöneticilerin onay isteklerini yönetmeyi ve değerlendirmeyi bilmelerini sağlayın.

Kullanılan uygulamaların yalnızca ihtiyaç duydukları verilere eriştiğinden ve en az ayrıcalık ilkelerine bağlı olduğundan emin olmak için kuruluşunuzdaki uygulamaları ve onaylanan izinleri denetleyin.

Risk Azaltıcı Etkenler

  • Müşteriyi eğitme ve uygulama onayı vermelerinin güvenliğini sağlama konusunda farkındalık ve eğitim sağlama
  • Kuruluş ilkesi ve teknik denetimlerle uygulama onayı verme sürecini sıkılaştırma
  • Onaylanan uygulamaları gözden geçirmek için Zamanlama oluşturma'yı ayarlama
  • PowerShell'i kullanarak şüpheli veya kötü amaçlı uygulamaları devre dışı bırakmak için uygulamayı devre dışı bırakabilirsiniz

İlgili içerik

Ek olay yanıtı playbook'ları

Bu ek saldırı türlerini belirlemek ve araştırmak için kılavuzu inceleyin:

Olay yanıtı kaynakları