調查及補救具風險的 OAuth 應用程式

OAuth 是用於權杖型驗證與授權的開放式標準。 OAuth 可讓使用者的帳戶資訊由第三方服務使用，而不需要公開使用者的密碼。 OAuth 做為代表使用者的仲介，它為服務提供可授權共用特定帳戶資訊的存取權杖。

例如，分析使用者行事曆的應用程式，並提供如何提高生產力的建議，需要存取使用者的行事曆。 OAuth 不會提供使用者的認證，而是可讓應用程式僅根據令牌取得數據的存取權，而當使用者同意頁面時，如下圖所示。

許多可能由組織中的商務使用者安裝的第三方應用程式會需要權限，才能存取使用者資訊與資料，以及以其他雲端應用程式使用者的身分登入。 當使用者安裝這些應用程式時，通常不會仔細檢閱提示中的詳細資料 (包括授權給應用程式的資料) 就按下 [接受]。 接受第三方應用程式許可權對您的組織有潛在的安全性風險。

例如，下列 OAuth 應用程式同意頁面可能看起來對普通使用者而言是合法的，不過，「Google API Explorer」不應該需要向 Google 本身要求許可權。 因此，這表示應用程式可能是網路釣魚嘗試，與Google完全無關。

身為安全性系統管理員，您需要檢視和控制環境中的應用程式，以及包含其擁有的許可權。 您需要能夠防止使用需要撤銷資源許可權的應用程式。 因此，適用於雲端的 Microsoft Defender Apps 可讓您調查及監視使用者授與的應用程式許可權。 此文章主要是要協助您調查組織中的 OAuth 應用程式，而且專注在可能可疑的應用程式。

我們建議的方法是使用 適用於雲端的 Defender Apps 入口網站中提供的能力和資訊來調查應用程式，以篩選出風險較低的應用程式，並專注於可疑的應用程式。

在本教學課程中，您將了解如何：

• 偵測具風險的 OAuth 應用程式
• 調查有風險的 OAuth 應用程式
• 補救具風險的 OAuth 應用程式

注意

本文會使用 OAuth 應用程式頁面的範例和螢幕快照，當您未開啟應用程式控管時，會使用此範例和螢幕快照。

如果您使用 預覽功能 並開啟應用程式控管，則會改為從 [應用程式控管 ] 頁面取得相同的功能。

如需詳細資訊，請參閱 適用於雲端的 Microsoft Defender Apps 中的應用程式控管。

如何偵測有風險的 OAuth 應用程式

您可以使用下列項目來偵測具風險的 OAuth 應用程式：

• 警示：回應現有原則所觸發的警示。
• 搜捕：在所有可用的應用程式中搜尋具風險的應用程式，而不需具體懷疑有風險。

使用警示偵測有風險的應用程式

您可以設定原則，以在 OAuth 應用程式符合特定準則時自動傳送通知。 例如，您可以設定原則，以在偵測到需要高許可權且由超過50位使用者授權的應用程式時自動通知您。 如需建立 OAuth 原則的詳細資訊，請參閱 OAuth 應用程式原則。

藉由搜捕來偵測有風險的應用程式

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [OAuth 應用程式]。 使用篩選和查詢來檢閱環境中發生的情況：

   • 將篩選條件設定為許可權層級高嚴重性和社群使用不常見。 使用此篩選條件，您可以專注於可能非常有風險的應用程式，其中使用者可能低估了風險。

   • 在 [許可權] 底下，選取特定內容中特別有風險的所有選項。 例如，您可以選取提供電子郵件存取許可權的所有篩選，例如 所有信箱 的完整存取權，然後檢閱應用程式清單，以確定它們確實需要郵件相關存取權。 這可協助您在特定內容中調查，並尋找看似合法的應用程式，但包含不必要的許可權。 這些應用程式更有可能有風險。

     

   • 選取外部用戶授權的已儲存查詢 應用程式。 使用此篩選條件，您可以找到可能與公司安全性標準不一致的應用程式。

2. 檢閱應用程式之後，您可以將焦點放在看似合法的查詢中，但實際上可能會有風險的應用程式。 使用篩選條件來尋找它們：

   • 篩選少數使用者授權的應用程式。 如果您專注在這些應用程式上，便可以找出由被盜用使用者所授權的具風險應用程式。
   • 具有不符合應用程式用途許可權的應用程式，例如，具有所有信箱完整存取權的時鐘應用程式。

3. 選取每個應用程式以開啟應用程式選單，並檢查應用程式是否有可疑的名稱、發行者或網站。

4. 查看應用程式清單，並尋找 [上次授權] 底下的日期已經過一段時間的應用程式。 這些應用程式可能已不再必要。

   

如何調查可疑的 OAuth 應用程式

判斷應用程式可疑且想要調查之後，建議您遵循下列重要原則，以有效率地進行調查：

• 應用程式越常見且使用越常見，可能是由您的組織或在線使用，就越有可能是安全的。
• 應用程式應該只需要與應用程式用途相關的許可權。 如果情況並非如此，應用程式可能會有風險。
• 需要高許可權或系統管理員同意的應用程式更有可能有風險。

1. 選取應用程式以開啟應用程式選單，然後選取 [相關活動] 底下的連結。 這會開啟 [活動記錄] 頁面，並以該應用程式所執行的活動進行篩選。 請注意，某些應用程式所執行的活動會被系統記錄為由某個使用者所執行。 這些活動會在 [活動記錄] 的結果中被自動篩選掉。 若要使用 [活動記錄] 進行進一步的調查，請參閱活動記錄。
2. 在選單中，選取 [ 同意活動 ] 以調查活動記錄中應用程式的使用者同意。
3. 如果應用程式似乎可疑，建議您調查不同應用程式市集中的應用程式名稱和發行者。 將焦點放在下列應用程式上，這可能表示懷疑：
   • 具有低下載次數的應用程式。
   • 具有低評分或分數，或是負面評論的應用程式。
   • 具有可疑發行者或網站的應用程式。
   • 上次更新不是最近更新的應用程式。 這可能表示該應用程式已經不再被支援。
   • 具有不相關權限的應用程式。 這可能表示該應用程式是具有風險的。
4. 若應用程式仍可疑，您可以在線上研究該應用程式的名稱、發行者與 URL。
5. 您可以匯出 OAuth 應用程式稽核，以進一步分析授權應用程式的使用者。 如需詳細資訊，請參閱 OAuth 應用程式稽核。

如何補救可疑的 OAuth 應用程式

判斷 OAuth 應用程式有風險之後，適用於雲端的 Defender 應用程式會提供下列補救選項：

• 手動補救：您可以輕鬆地 從 OAuth 應用程式頁面禁止撤銷應用程式

• 自動補救：您可以建立原則， 以自動撤銷應用程式，或從應用程式撤銷特定使用者。

下一步

保護貴組織的最佳做法

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。