调查和修正有风险的 OAuth 应用

  • 项目

OAuth 是基于令牌的身份验证和授权的开放标准。 OAuth 使用户的帐户信息被第三方服务使用,不会公开用户的密码。 OAuth 代表用户充当中介,为服务提供访问令牌,授权共享特定帐户信息。

例如,一款应用需要访问用户的日历,以分析用户的日历,并就如何提高工作效率提供建议。 OAuth 无需提供用户凭据,只需用户同意访问页时生成的令牌,应用即可访问数据(如下图所示)。

OAuth app permission.

许多第三方应用可能由组织中的业务用户安装,它们会请求访问用户信息和数据并代表用户在其他云应用中登录的权限。 当用户安装这些应用时,往往会直接单击“接受”,而没有仔细查看提示中的详细信息(包括向应用授予权限)。 接受第三方应用权限会给你的组织带来潜在的安全风险。

例如,下面的 OAuth 应用同意页对于普通用户来说可能看起来是合法的,但“Google API Explorer”不需要向 Google 本身请求权限。 因此,这表明应用可能是网络钓鱼尝试,与 Google 完全无关。

OAuth phishing google.

作为安全管理员,你需要查看和控制环境中的应用,包括其拥有的权限。 对于需要对要撤销的资源拥有权限的应用,你需要能够阻止使用这些应用。 因此,Microsoft Defender for Cloud Apps 为你提供了调查和监视用户授予的应用权限的功能。 本文旨在协助调查组织中的 OAuth 应用,并重点关注更为可疑的应用。

我们建议的方法是使用 Defender for Cloud Apps 门户中提供的功能和信息来调查应用,筛选掉风险较低的应用,并重点关注可疑的应用。

本教程介绍以下操作:

注意

本文使用 OAuth 应用页中的示例和屏幕截图,该页面在未启用应用治理时使用。

如果使用的是预览功能并启用了应用治理,则应用治理页面会改为提供相同的功能。

有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理

如何检测有风险的 OAuth 应用

可使用以下方法检测有风险的 OAuth 应用:

  • 警报:响应现有策略触发的警报。
  • 搜寻:在所有可用的应用中搜索有风险的应用,而不具体怀疑存在风险。

使用警报检测有风险的应用

你可以设置策略,当 OAuth 应用程序满足特定条件时自动向你发送通知。 例如,可以设置一个策略,在检测到需要高权限且由 50 多个用户授权的应用时自动通知你。 有关创建 OAuth 策略的更多信息,请参阅 OAuth 应用策略

通过搜寻检测有风险的应用

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“OAuth 应用”。 使用筛选器和查询查看环境中发生的情况:

    • 将筛选器设置为“权限级别高严重性”和“社区使用不常见”。 使用此筛选器,可以重点关注潜在风险较高的应用,因为用户可能低估了这些应用的风险。

    • 在“权限”下,选择在特定上下文中风险较大的所有选项。 例如,你可以选择所有提供电子邮件访问权限的筛选器,例如“对所有邮箱的完全访问权限”,然后查看应用列表,确保其确实需要邮件相关的访问权限。 这有助于在特定上下文中进行调查,并找到看似合法但包含不必要权限的应用。 这些应用可能风险更大。

      OAuth phishing risky.

    • 选择保存查询“外部用户授权的应用”。 使用此筛选器有助于发现可能不符合公司安全标准的应用。

  2. 查看应用后,可以重点关注查询中看似合法但实际可能有风险的应用。 使用筛选器查找:

    • 筛选“少数用户授权”的应用。 如果重点关注这些应用,可以查找已被盗用用户授权的有风险应用。
    • 所含权限与应用用途不符的应用,例如,对所有邮箱拥有完全访问权限的时钟应用。

  3. 选择每个应用,以打开应用抽屉,看看应用是否有可疑名称、发布者或网站。

  4. 查看“上次授权时间”下的日期不是最新的应用和目标应用列表。 可能不再需要这些应用。

    OAuth app drawer.

如何调查可疑的 OAuth 应用

确定某个应用可疑并想要进行调查后,建议遵循以下关键原则进行效调查:

  • 无论是你的组织还是在线应用,越是常见和常用的应用就越有可能是安全的。
  • 应用应只需要与应用用途相关的权限。 如果情况并非如此,应用可能有风险。
  • 需要高特权或管理员同意的应用更有可能存在风险。
  1. 选择应用以打开应用抽屉,然后选择“相关活动”下的链接。 这会打开活动日志页,其中筛选出了应用执行的活动。 请注意,一些应用执行的活动注册为已由用户执行。 这些活动自动从“活动日志”的结果中筛选掉。 若要使用“活动日志”进一步调查,请参阅活动日志
  2. 在抽屉中,选择“同意活动”以调查活动日志中应用的用户同意。
  3. 如果应用看起来可疑,建议调查应用在不同应用商店中的名称和发布者。 重点关注以下应用,这些可能是可疑应用:
    • 下载次数少的应用。
    • 评级/评分低或评价差的应用。
    • 具有可疑发布者或网站的应用。
    • 上次更新不是最近的应用。 这可能表示应用不再受支持。
    • 所含权限不相关的应用。 这可能表示应用有风险。
  4. 如果应用仍可疑,可以联机搜索应用名称、发布者和 URL。
  5. 可以导出 OAuth 应用审核,以便进一步分析授权应用的用户。 有关更多信息,请参阅 OAuth 应用审核

如何修复可疑的 OAuth 应用

确定 OAuth 应用有风险后,Defender for Cloud Apps 提供以下修复选项:

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证