Aracılığıyla paylaş

Güvenliği aşılmış ve kötü amaçlı uygulamalar araştırması

  • Makale

Bu makalede, bir müşteri kiracısında bir veya daha fazla uygulamaya yönelik kötü amaçlı saldırıları belirleme ve araştırma konusunda rehberlik sağlanır. Adım adım yönergeler, bilgileri korumak ve diğer riskleri en aza indirmek için gerekli düzeltme eylemini gerçekleştirmenize yardımcı olur.

  • Önkoşullar: Araştırmaya başlamadan önce tamamlamanız gereken belirli gereksinimleri kapsar. Örneğin, açık olması gereken günlüğe kaydetme, diğer roller ve izinler de gereklidir.
  • İş Akışı: Bu araştırmayı gerçekleştirmek için izlemeniz gereken mantıksal akışı gösterir.
  • Araştırma adımları: Bu araştırma için ayrıntılı bir adım adım kılavuz içerir.
  • Kapsama adımları: Güvenliği aşılmış uygulamaların nasıl devre dışı bırakıldığına ilişkin adımları içerir.
  • Kurtarma adımları: Güvenliği aşılmış uygulamalara yönelik kötü amaçlı bir saldırıyı kurtarma/azaltma konusunda üst düzey adımlar içerir.
  • Başvurular: Diğer okuma ve başvuru malzemelerini içerir.

Önkoşullar

Araştırmaya başlamadan önce ayrıntılı bilgi toplamak için doğru araçlara ve izinlere sahip olduğunuzdan emin olun.

Gerekli araçlar

Etkili bir araştırma için araştırma makinenize aşağıdaki PowerShell modülünü ve araç setini yükleyin:

İş Akışı

Araştırma adımlarının ayrıntılı akış çizelgesi.

İnceleme adımları

Bu araştırma için, kullanıcı raporu, Microsoft Entra oturum açma günlükleri örneği veya kimlik koruması algılama biçiminde olası bir uygulama güvenliğinin aşıldığını belirten bir göstergeniz olduğunu varsayalım. Gerekli tüm önkoşul adımlarını tamamladığınızdan ve etkinleştirdiğinizden emin olun.

Bu playbook, tüm Microsoft müşterilerinin ve araştırma ekiplerinin tam Microsoft 365 E5 veya Microsoft Entra Id P2 lisans paketinin mevcut veya yapılandırılmış olmaması amacıyla oluşturulur. Bu playbook uygun olduğunda diğer otomasyon özelliklerini vurgular.

Uygulama türünü belirleme

Uygulama sahibine ulaşmak için gereken doğru bilgileri almak için araştırma aşamasının başlarında uygulama türünü (çok veya tek kiracılı) belirlemek önemlidir. Daha fazla bilgi için bkz . Microsoft Entra Id'de Kiracı.

Çok kiracılı uygulamalar

Çok kiracılı uygulamalar için uygulama üçüncü taraf tarafından barındırılır ve yönetilir. Uygulama sahibine ulaşmak ve sorunları bildirmek için gereken işlemi belirleyin.

Tek kiracılı uygulamalar

Kuruluşunuzdaki uygulama sahibinin iletişim bilgilerini bulun. Kurumsal Uygulamalar bölümündeki Sahipler sekmesinde bulabilirsiniz. Alternatif olarak, kuruluşunuzun bu bilgilere sahip bir veritabanı olabilir.

Bu Microsoft Graph sorgusunu da yürütebilirsiniz:

GET https://graph.microsoft.com/v1.0/applications/{id}/owners

Kimlik Korumasını Denetleme - riskli iş yükü kimlikleri

Bu özellik, bu playbook'u yazarken önizleme aşamasındadır ve lisanslama gereksinimleri kullanım için geçerlidir. Riskli iş yükü kimlikleri bir Hizmet Sorumlusunu araştırmak için tetikleyici olabilir, ancak tanımladığınız diğer tetikleyicileri daha fazla araştırmak için de kullanılabilir. Kimlik Koruması - riskli iş yükü kimlikleri sekmesini kullanarak Hizmet Sorumlusunun Risk Durumunu denetleyebilirsiniz veya Microsoft Graph API'sini kullanabilirsiniz.

Risk Algılama Ayrıntıları portalı sayfasının ekran görüntüsü.

Risk Algılama ayrıntıları kullanıcı arabirimi sayfasının ekran görüntüsü.

Hizmet Sorumlusu Risk Algılama Grafı API'sinin bir örneği.

Olağan dışı oturum açma davranışını denetleme

Araştırmanın ilk adımı, Hizmet Sorumlusu kullanımındaki olağan dışı kimlik doğrulama desenlerinin kanıtını aramaktır. Azure portalı, Azure İzleyici, Microsoft Sentinel veya kuruluşunuzun tercihi olan Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sisteminde Hizmet sorumlusu oturum açma işlemleri bölümünde aşağıdakileri arayın:

  • Konum - Hizmet Sorumlusu, beklemediğiniz konumlardan\IP adreslerinden kimlik doğrulaması mı ediyor?
  • Hatalar - Hizmet Sorumlusu için çok sayıda kimlik doğrulama hatası var mı?
  • Zaman damgaları - Beklemediğiniz zamanlarda gerçekleşen başarılı kimlik doğrulamaları var mı?
  • Sıklık - Hizmet Sorumlusu için artan kimlik doğrulama sıklığı var mı?
  • Sızıntı Kimlik Bilgileri - GitHub gibi genel bir kaynakta sabit kodlanmış ve yayımlanmış uygulama kimlik bilgileri var mı?

Microsoft Entra ID Identity Protection - riskli iş yükü kimliklerini dağıttıysanız Şüpheli Oturum Açma ve Sızıntı Kimlik Bilgileri algılamalarını denetleyin. Daha fazla bilgi için bkz . İş yükü kimlik riski gözaltıları.

Hedef kaynağı denetleme

Hizmet sorumlusu oturum açma işlemleri içinde, kimlik doğrulaması sırasında Hizmet Sorumlusunun eriştiği Kaynağı da denetleyin. Hizmet Sorumlusunun erişmesi gereken kaynaklar hakkında bilgi sahibi olduğundan uygulama sahibinden giriş almak önemlidir.

Hizmet Sorumlusu için kaynağı denetleme işleminin ekran görüntüsü.

Anormal kimlik bilgisi değişikliklerini denetleme

Uygulamalarda ve hizmet sorumlularında kimlik bilgisi değişiklikleri hakkında bilgi almak için Denetim günlüklerini kullanın. Kategori için Uygulama Yönetimine göre filtreleyin ve Uygulamayı Güncelleştire göre Etkinlik – Sertifikalar ve gizli dizi yönetimi.

  • Hizmet sorumlusuna yeni oluşturulan veya beklenmeyen kimlik bilgilerinin atanıp atanmadığını denetleyin.
  • Microsoft Graph API'sini kullanarak Hizmet Sorumlusu'nda kimlik bilgilerini denetleyin.
  • Hem uygulamayı hem de ilişkili hizmet sorumlusu nesnelerini denetleyin.
  • Oluşturduğunuz veya değiştirdiğiniz özel rolleri denetleyin. Aşağıda işaretlenen izinlere dikkat edin:

Oluşturulan veya değiştirilen özel rollerin nasıl denetlendiğini gösteren ekran görüntüsü.

Bulut için Microsoft Defender Uygulamaları'nda uygulama idaresi dağıttıysanız, uygulamayla ilgili uyarılar için Azure portalına bakın. Daha fazla bilgi için bkz . Uygulama tehdit algılama ve düzeltmeyi kullanmaya başlama.

Kimlik Koruması'nı dağıttıysanız" "Risk algılamaları" raporunu ve kullanıcı veya iş yükü kimliği "risk geçmişi" içinde denetleyin.

Risk Algılama portalı kullanıcı arabiriminin ekran görüntüsü.

Bulut için Microsoft Defender Uygulamaları dağıttıysanız, "OAuth uygulamasına olağan dışı kimlik bilgileri ekleme" ilkesinin etkinleştirildiğinden emin olun ve açık uyarıları denetleyin.

Daha fazla bilgi için bkz . OAuth uygulamasına olağan dışı kimlik bilgileri ekleme.

Ayrıca, bu risk algılamalarını almak için servicePrincipalRiskDetections ve user riskDetections API'lerini sorgulayabilirsiniz.

Anormal uygulama yapılandırma değişikliklerini arama

  • İzinlerin uygulama için beklenen izinlerle tutarlı olduğundan emin olmak için uygulamaya atanan API izinlerini denetleyin.
  • Denetim günlüklerini denetleyin (Uygulamayı Güncelleştir'e veya Hizmet Sorumlusunu Güncelleştir'e göre Etkinliği filtreleyin).
  • bağlantı dizesi tutarlı olup olmadığını ve oturumu kapatma URL'sinin değiştirilip değiştirilmediğini onaylayın.
  • URL'deki etki alanlarının kayıtlı etki alanlarıyla aynı hizada olup olmadığını onaylayın.
  • Herhangi birinin yetkisiz yeniden yönlendirme URL'si ekleyip eklemediğini belirleyin.
  • Süresi dolmadığından ve bir saldırgan tarafından talep edildiğinden emin olmak için sahip olduğunuz yeniden yönlendirme URI'sinin sahipliğini onaylayın.

Ayrıca, Bulut için Microsoft Defender Uygulamaları dağıttıysanız, araştırmakta olduğunuz uygulamayla ilgili uyarılar için Azure portalını denetleyin. OAuth uygulamaları için tüm uyarı ilkeleri varsayılan olarak etkin değildir, bu nedenle bu ilkelerin tümünün etkinleştirildiğinden emin olun. Daha fazla bilgi için bkz . OAuth uygulama ilkeleri. Uygulama yaygınlığı ve son etkinlikler hakkındaki bilgileri OAuth Uygulamalarını Araştır>sekmesinden de görüntüleyebilirsiniz.

Şüpheli uygulama rollerini denetleme

  • Denetim günlüklerini de kullanabilirsiniz. Hizmet sorumlusuna uygulama rolü ataması ekleme ölçütüne göre Etkinliği filtreleyin.
  • Atanan rollerin yüksek ayrıcalığı olup olmadığını onaylayın.
  • Bu ayrıcalıkların gerekli olup olmadığını onaylayın.

Onaylanmamış ticari uygulamaları denetleme

  • Ticari galeri (yayımlanmış ve doğrulanmış sürümler) uygulamalarının kullanılıp kullanılmadığını denetleyin.

keyCredential özellik bilgilerinin açığa çıkmasıyla ilgili göstergeler olup olmadığını denetleyin

CVE-2021-42306'da açıklandığı gibi olası keyCredential özellik bilgilerinin açığa çıkması için kiracınızı gözden geçirin.

Etkilenen Otomasyon Farklı Çalıştır hesaplarıyla ilişkili etkilenen Microsoft Entra uygulamalarını belirlemek ve düzeltmek için GitHub Deposu düzeltme kılavuzuna gidin.

Önemli

Gizliliğin aşılmasına ilişkin kanıtlar bulursanız, kapsama ve kurtarma bölümlerinde vurgulanan adımları uygulamanız önemlidir. Bu adımlar riskin ele alınmasına yardımcı olur, ancak daha fazla etkiyi önlemek ve kötü aktörlerin kaldırıldığından emin olmak için güvenliğin kaynağını anlamak için daha fazla araştırma gerçekleştirin.

Uygulamaların kullanımıyla sistemlere erişim kazanmanın iki birincil yöntemi vardır. Birincisi, genellikle kimlik avı saldırısı yoluyla bir yönetici veya kullanıcı tarafından onaylanan bir uygulamayı içerir. Bu yöntem bir sisteme ilk erişimin bir parçasıdır ve genellikle "onay kimlik avı" olarak adlandırılır.

İkinci yöntem, kalıcılık, veri toplama ve radar altında kalmak amacıyla yeni bir uygulama oluşturmak için zaten güvenliği aşılmış bir yönetici hesabını içerir. Örneğin, güvenliği aşılmış bir yönetici, algılanmaktan kaçınarak ve bir hesaba gerek kalmadan verilere uzun süreli erişime izin veren zararsız bir ada sahip bir OAuth uygulaması oluşturabilir. Bu yöntem genellikle ulus devlet saldırılarında görülür.

Aşağıda daha fazla araştırma yapmak için atabileceğiniz adımlardan bazıları yer alır.

Son yedi güne ilişkin kimlik avı göstergeleri için Microsoft 365 Birleşik Denetim Günlüğü'nü (UAL) denetleyin

Bazen saldırganlar kalıcılık aracı olarak kötü amaçlı veya güvenliği aşılmış uygulamalar kullandığında veya verileri dışarı çıkardığında bir kimlik avı kampanyası söz konusu olur. Önceki adımlarda yer alan bulgulara dayanarak şu kimlikleri gözden geçirmelisiniz:

  • Uygulama Sahipleri
  • Onay Yöneticileri

Son 24 saat içindeki kimlik avı saldırılarına ilişkin göstergeler için kimlikleri gözden geçirin. Acil bir gösterge yoksa bu süre süresini 7, 14 ve 30 güne yükseltin. Ayrıntılı kimlik avı araştırması playbook'u için Kimlik Avı Araştırması Playbook'una bakın.

Son yedi gün için kötü amaçlı uygulama onaylarını arama

Bir uygulamanın kiracıya eklenmesini sağlamak için saldırganlar, kullanıcıları veya yöneticileri uygulamalara onay vermek üzere sahtekarlık eder. Bir saldırının belirtileri hakkında daha fazla bilgi edinmek için Bkz . Uygulama Onayı Verme Araştırma Playbook'u.

Denetim günlüklerini denetleme

Bu uygulamaya yönelik tüm onay vermelerini görmek için Uygulamaya onay ile Etkinlik'i filtreleyin.

  • Microsoft Entra yönetim merkezi Denetim Günlüklerini kullanma

  • Denetim günlüklerini sorgulamak için Microsoft Graph kullanma

    a) Belirli bir zaman dilimi için filtre:

GET https://graph.microsoft.com/v1.0/auditLogs/auditLogs/directoryAudits?&$filter=activityDateTime le 2022-01-24

b) Denetim Günlüklerini 'Uygulamalara Onay Ver' denetim günlüğü girdileri için filtreleyin:

https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?directoryAudits?$filter=ActivityType eq 'Consent to application'


"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/directoryAudits",
"value": [
    {
        "id": "Directory_0da73d01-0b6d-4c6c-a083-afc8c968e655_78XJB_266233526",
        "category": "ApplicationManagement",
        "correlationId": "0da73d01-0b6d-4c6c-a083-afc8c968e655",
        "result": "success",
        "resultReason": "",
        "activityDisplayName": "Consent to application",
        "activityDateTime": "2022-03-25T21:21:37.9452149Z",
        "loggedByService": "Core Directory",
        "operationType": "Assign",
       "initiatedBy": {
            "app": null,
            "user": {
                "id": "8b3f927e-4d89-490b-aaa3-e5d4577f1234",
                "displayName": null,
                "userPrincipalName": "admin@contoso.com",
                "ipAddress": "55.154.250.91",
                "userType": null,
                "homeTenantId": null,
                "homeTenantName": null
            }
        },
        "targetResources": [
            {
                "id": "d23d38a1-02ae-409d-884c-60b03cadc989",
                "displayName": "Graph explorer (official site)",
                "type": "ServicePrincipal",
                "userPrincipalName": null,
                "groupType": null,
                "modifiedProperties": [
                    {
                        "displayName": "ConsentContext.IsAdminConsent",
                        "oldValue": null,
                        "newValue": "\"True\""
                    },

c) Log Analytics'i kullanma

AuditLogs
| where ActivityDisplayName == "Consent to application"

Daha fazla bilgi için bkz . Uygulama Onayı Verme Araştırma Playbook'u.

Kullanıcı, bir uygulamayı korumalı kaynakta bazı verilere erişmesi için yetkileyebilir ve bu kullanıcı olarak hareket edebilir. Bu tür erişime izin veren izinlere "temsilci izinleri" veya kullanıcı onayı denir.

Kullanıcılar tarafından onaylanan uygulamaları bulmak için LogAnalytics'i kullanarak Denetim günlüklerinde arama yapın:

AuditLogs
| where ActivityDisplayName == "Consent to application" and (parse_json(tostring(parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue)) <> "True")

Verilen izinlerin çok geniş olup olmadığını (kiracı genelinde mi yoksa yönetici onayıyla mı) bulmak için Denetim günlüklerini denetleyin

Bir uygulamaya veya Hizmet Sorumlusuna verilen izinleri gözden geçirmek zaman alan bir görev olabilir. Microsoft Entra Id'deki riskli olabilecek izinleri anlamakla başlayın.

Şimdi Uygulama onayı verme araştırmasında izinleri listeleme ve gözden geçirme yönergelerini izleyin.

İzinlerin, bunu yapabilmesi gerekmeyen kullanıcı kimlikleri tarafından verilip verilmediğini veya eylemlerin garip tarih ve saatlerde gerçekleştirilip gerçekleştirilmediğini denetleyin

Denetim Günlüklerini kullanarak gözden geçirin:

AuditLogs
| where OperationName == "Consent to application" 
//| where parse_json(tostring(TargetResources[0].modifiedProperties))[4].displayName == "ConsentAction.Permissions"

Ayrıca Microsoft Entra denetim günlüklerini kullanabilir, uygulamaya onay vererek filtreleyebilirsiniz. Denetim Günlüğü ayrıntıları bölümünde, Değiştirilen Özellikler'e tıklayın ve ConsentAction.Permissions bölümünü gözden geçirin:

Microsoft Entra denetim günlüklerinin nasıl kullanılacağını gösteren ekran görüntüsü.

Kapsama adımları

Bir veya daha fazla uygulamayı veya iş yükü kimliklerini kötü amaçlı veya güvenliği aşılmış olarak belirledikten sonra, bu uygulamanın kimlik bilgilerini hemen almak veya uygulamayı hemen silmek istemeyebilirsiniz.

Önemli

Aşağıdaki adımı gerçekleştirmeden önce, kuruluşunuzun bir uygulamayı devre dışı bırakmanın güvenlik etkisini ve iş etkisini artırması gerekir. Bir uygulamayı devre dışı bırakmanın iş üzerindeki etkisi çok büyükse, bu sürecin Kurtarma aşamasına hazırlanmayı ve taşımayı göz önünde bulundurun.

Güvenliği aşılmış uygulamayı devre dışı bırakma

Tipik bir kapsama stratejisi, olay yanıtı ekibinize veya etkilenen iş birimine silme veya anahtar tesliminin etkisini değerlendirmek için zaman tanımak için tanımlanan uygulamada oturum açmaların devre dışı bırakılmasını içerir. Araştırmanız yönetici hesabı kimlik bilgilerinin de tehlikeye girdiğini düşünüyorsanız, kiracıya erişime yönelik tüm yolların aynı anda kesildiğinden emin olmak için bu etkinlik türü bir çıkarma olayıyla eşgüdümlü olmalıdır.

Kullanıcı oturum açma özelliğini devre dışı bırakma ekran görüntüsü.

Uygulamada oturum açmayı devre dışı bırakmak için aşağıdaki Microsoft Graph PowerShell kodunu da kullanabilirsiniz:

# The AppId of the app to be disabled
$appId = "{AppId}"

# Check if a service principal already exists for the app
$servicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$appId'"

if ($servicePrincipal) {
   # Service principal exists already, disable it

  $ServicePrincipalUpdate =@{
    "accountEnabled" = "false"
  }
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -BodyParameter $ServicePrincipalUpdate
   
} else {
   # Service principal does not yet exist, create it and disable it at the same time
   
   $ServicePrincipalID=@{
	"AppId" = $appId
	"accountEnabled" = "false"
   }
   
   $servicePrincipal = New-MgServicePrincipal -BodyParameter $ServicePrincipalId
   
}

Kurtarma adımları

Hizmet Sorumlularını Düzeltme

  1. Riskli Hizmet Sorumlusuna atanan tüm kimlik bilgilerini listeleyin. Bunun en iyi yolu GET ~/application/{id} kullanarak bir Microsoft Graph çağrısı gerçekleştirmektir; burada kimlik geçirilirken uygulama nesne kimliği kullanılır.

    • Çıktıyı kimlik bilgileri için ayrıştırın. Çıktı passwordCredentials veya keyCredentials içerebilir. Tümü için keyId'leri kaydedin.

      "keyCredentials": [],
     "parentalControlSettings": {
         "countriesBlockedForMinors": [],
         "legalAgeGroupRule": "Allow"
     },
     "passwordCredentials": [
         {
             "customKeyIdentifier": null,
             "displayName": "Test",
             "endDateTime": "2021-12-16T19:19:36.997Z",
             "hint": "7~-",
             "keyId": "9f92041c-46b9-4ebc-95fd-e45745734bef",
             "secretText": null,
             "startDateTime": "2021-06-16T18:19:36.997Z"
         }
     ],

  2. uygulama addKey API'sini kullanarak uygulama nesnesine yeni bir (x509) sertifika kimlik bilgisi ekleyin.

    POST ~/applications/{id}/addKey

  3. Tüm eski kimlik bilgilerini hemen kaldırın. Her eski parola kimlik bilgisi için şunu kullanarak kaldırın:

    POST ~/applications/{id}/removePassword

    Her eski anahtar kimlik bilgisi için şunu kullanarak kaldırın:

    POST ~/applications/{id}/removeKey

  4. Uygulamayla ilişkili tüm Hizmet Sorumlularını düzeltin. Kiracınız çok kiracılı bir uygulamayı barındırıyor/kaydediyorsa ve/veya uygulamayla ilişkili birden çok hizmet sorumlusu kaydediyorsa bu adımı izleyin. Daha önce listelenenlere benzer adımları gerçekleştirin:

  • GET ~/servicePrincipals/{id}

  • Yanıtta passwordCredentials ve keyCredentials bulun, tüm eski keyId'leri kaydedin

  • Tüm eski parola ve anahtar kimlik bilgilerini kaldırın. Şu değeri kullanın:

    POST ~/servicePrincipals/{id}/removePassword and POST ~/servicePrincipals/{id}/removeKey for this, respectively.

Etkilenen Hizmet Sorumlusu kaynaklarını düzeltme

Hizmet Sorumlusunun erişimi olan KeyVault gizli dizilerini aşağıdaki önceliğe göre döndürerek düzeltin:

  • GetSecret çağrılarıyla doğrudan kullanıma sunulan gizli diziler.
  • Kullanıma sunulan KeyVaults'taki diğer gizli diziler.
  • Kullanıma sunulan abonelikler arasında kalan gizli diziler.

Daha fazla bilgi için bkz . Hizmet Sorumlusunun veya Uygulamanın sertifikalarını ve gizli dizilerini etkileşimli olarak kaldırma ve dağıtma.

Uygulamalarla ilgili Microsoft Entra SecOps kılavuzu için bkz . Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzu.

Öncelik sırasına göre bu senaryo şöyle olacaktır:

  • Graph PowerShell cmdlet'lerini (ApplicationKey + ApplicationPassword Ekle/Kaldır) belgesini kimlik bilgisi geçişi için örnekler içerecek şekilde güncelleştirin.
  • Microsoft Graph PowerShell'e bu senaryoyı basitleştiren özel cmdlet'ler ekleyin.

Kötü amaçlı uygulamaları devre dışı bırakma veya silme

Bir uygulama devre dışı bırakılabilir veya silinebilir. Uygulamayı devre dışı bırakmak için, Kullanıcıların oturum açması için etkinleştirildi'nin altında iki durumlu düğmeyi Hayır'a getirin.

Azure portalında veya Microsoft Graph API'si aracılığıyla uygulamayı geçici veya kalıcı olarak silebilirsiniz. Geçici silme işleminden sonra uygulama 30 güne kadar kurtarılabilir.

DELETE /applications/{id}

Uygulamayı kalıcı olarak silmek için şu Microsoft Graph API çağrısını kullanın:

DELETE /directory/deletedItems/{id}

Uygulamayı devre dışı bırakırsanız veya geçici olarak silerseniz, durumun yeniden etkin veya kurtarılmış olarak değişip değişmediğini öğrenmek için Microsoft Entra denetim günlüklerinde izlemeyi ayarlayın.

Etkin için günlüğe kaydetme:

  • Hizmet - Çekirdek Dizin
  • Etkinlik Türü - Hizmet Sorumlusunu Güncelleştirme
  • Kategori - Uygulama Yönetimi
  • Başlatan (aktör) - Aktör UPN'i
  • Hedefler - Uygulama Kimliği ve Görünen Ad
  • Değiştirilen Özellikler - Özellik Adı = hesap etkin, yeni değer = true

Kurtarılanlar için günlüğe kaydetme:

  • Hizmet - Çekirdek Dizin
  • Etkinlik Türü - Hizmet Sorumlusu Ekle
  • Kategori - Uygulama Yönetimi
  • Başlatan (aktör) - Aktör UPN'i
  • Hedefler - Uygulama Kimliği ve Görünen Ad
  • Değiştirilen Özellikler - Özellik adı = hesap etkin, yeni değer = true

Not

Microsoft, Hizmet Koşullarını ihlal ettiği tespit edilen uygulamaları genel olarak devre dışı bırakır. Bu gibi durumlarda, bu uygulamalar Microsoft Graph'taki ilgili uygulama ve hizmet sorumlusu kaynak türlerinde özelliğinde gösterilirDisabledDueToViolationOfServicesAgreement. disabledByMicrosoftStatus Gelecekte kuruluşunuzda yeniden örneklenmelerini önlemek için bu nesneleri silemezsiniz.

İş yükü kimlikleri için Kimlik Koruması uygulama

Microsoft, oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılar.

Daha fazla bilgi için bkz . Kimlik Koruması ile iş yükü kimliklerinin güvenliğini sağlama.

Bu uyarılar Kimlik Koruması portalında görünür ve Tanılama Ayarları veya Kimlik Koruması API'leri aracılığıyla SIEM araçlarına aktarılabilir.

Kimlik Koruması portalında riskleri ve uyarıları gözden geçirme işleminin ekran görüntüsü.

Riskli iş yükü kimlikleri için Koşullu Erişim

Koşullu Erişim, Kimlik Koruması bunları "risk altında" olarak işaretlediğinde belirlediğiniz belirli hesaplar için erişimi engellemenizi sağlar. Koşullu Erişim aracılığıyla zorlama şu anda yalnızca tek kiracılı uygulamalarla sınırlıdır.

Koşullu erişim ilkesine göre kullanıcı erişimini denetleme işleminin ekran görüntüsü.

Daha fazla bilgi için bkz . İş yükü kimlikleri için Koşullu Erişim.

Uygulama riski ilkelerini uygulama

Microsoft Entra ID>Enterprise uygulamaları>Onayı ve izinleri>Kullanıcı onayı ayarları altındaki kullanıcı onayı ayarlarını gözden geçirin.

Uygulamalar için kullanıcı onayına izin vermenin ekran görüntüsü.

Yapılandırma seçeneklerini gözden geçirmek için bkz . Kullanıcıların uygulamalara nasıl onay verdiğinizi yapılandırma.

Bir uygulama geliştiricisi, kiracının tamamı için onay vermek amacıyla kullanıcıları yönetici onayı uç noktasına yönlendirdiğinde, yönetici onayı akışı olarak bilinir. Yönetici onayı akışının düzgün çalıştığından emin olmak için uygulama geliştiricilerinin uygulama bildirimindeki RequiredResourceAccess özelliğindeki tüm izinleri listelemesi gerekir.

Çoğu kuruluş, kullanıcılarının uygulamalara onay verme yeteneğini devre dışı bırakır. Kullanıcılara uygulamalar için hala onay isteme ve yönetim gözden geçirme özelliğine sahip olma olanağı vermek için yönetici onayı iş akışının uygulanması önerilir. Kiracınızda yapılandırmak için yönetici onayı iş akışı adımlarını izleyin.

Yönetici onayı gibi yüksek ayrıcalıklı işlemler için kılavuzumuzda tanımlanmış ayrıcalıklı bir erişim stratejisine sahip olun.

Risk tabanlı adım adım onay, kullanıcının kötü amaçlı uygulamalara maruz kalmasını azaltmaya yardımcı olur. Örneğin, yayımcı tarafından doğrulanmamış ve temel olmayan izinler gerektiren yeni kaydedilen çok kiracılı uygulamalar için onay istekleri riskli kabul edilir. Riskli bir kullanıcı onayı isteği algılanırsa, istek bunun yerine yönetici onayı için bir "adım adım" gerektirir. Bu adım yükseltme özelliği varsayılan olarak etkindir, ancak yalnızca kullanıcı onayı etkinleştirildiğinde bir davranış değişikliğine neden olur.

Kiracınızda etkinleştirildiğinden emin olun ve burada özetlenen yapılandırma ayarlarını gözden geçirin.

Başvurular

Ek olay yanıtı playbook'ları

Bu ek saldırı türlerini belirlemek ve araştırmak için kılavuzu inceleyin:

Olay yanıtı kaynakları